คลังเก็บป้ายกำกับ: NETWORK_SECURITY

FireEye ออกโซลูชันใหม่และเพิ่มความสามารถช่วยป้องกัน APT

FireEye ผู้ให้บริการโซลูชันด้านความมั่นคงปลอดภัยได้ประกาศออกโซลูชันและความสามารถใหม่ผ่านบล็อกของบริษัท ประกอบด้วย SmartVision เพื่อตรวจจับทราฟฟิคอันตรายที่อยู่ภายในองค์กร เสริมพลัง Email Security โดย Deep Learning และ การผนวกผลิตภัณฑ์ระหว่าง Endpoint Security และบริการ Managed Detection and Respond(MDR) เพื่อช่วยตรวจจับพฤติกรรมการโจมตีที่แอบซ่อนอยู่ นอกจากนี้ยังมีการปรับราคาและโมเดลที่นำเสนอใหม่อีกด้วย

Credit: FireEye

SmartVision Edition

โซลูชันที่ถูกออกแบบมาเพื่อช่วยองค์กรตรวจหา ข้อมูลรหัสผ่านที่ถูกขโมย ทรัพย์สินทางปัญญา หรือข้อมูลที่มีความละเอียดอ่อน โดย FireEye ได้กล่าวว่าโซลูชันนี้ออกแบบมาเพื่อป้องกันที่อยู่ภายในองค์กร (East-West) ซึ่งต่างจากอุปกรณ์ปกป้องขอบเขตด้านบนล่าง (North-South) เช่น Firewall หรือ Web Gateway โดยส่วนประกอบหลักที่ SmartVision ใช้มีดังนี้

  • กระบวนการวิเคราะห์ขั้นสูงและกลไกเพื่อเชื่อมโยงความสัมพันธ์
  • Rule มากกว่า 120 ข้อเพื่อตรวจจับเหตุการณ์ Breach หลังการโจมตีสำเร็จแล้ว
  • ความสามารถในการตรวจจับไฟล์และ Object ที่อยู่บนทราฟฟิคของโปรโตคอล SMB
  • ใช้งาน Machine Learning เพื่อตรวจจับการรั่วไหลของข้อมูล

FireEye ได้มุ่งเน้นมาที่การโจมตีแบบ APT ซึ่งจากคำกล่าวของ Jason Martin, EVP ของทีม Engineer และผลิตภัณฑ์ด้านความมั่นคงปลอดภัย ที่กล่าวว่า “ปัจจุบันนี้แฮ็กเกอร์มักลัดผ่านการป้องกันของ Firewall เข้ามาได้และพยายามแฝงตัวให้ได้ยาวนานภายในเครือข่าย (APT) SmartVision จึงเข้ามาอำนวยความสะดวกเพื่อแก้ปัญหาตรงจุดนี้และลดผลกระทบของการรั่วไหลของข้อมูล

ความสามารถใหม่ของ Email Security

FireEye ได้ใช้เทคโนโลยี เช่น Deep Learning, AI และการทำ Analytics เพื่อสามารถตรวจจับภัยคุกคามที่มาทางอีเมล เช่น ตรวจจับและป้องกันการปลอมแปลงตัวตนอีเมล(Impersonate) หรือ การล่อลวง (Phishing) วิเคราะห์ความสัมพันธ์ในเชิงลึกเพื่อแก้ปัญหาทราฟฟิคที่น่าสงสัยจากบัญชีอีเมลที่อาจถูกแทรกแซงแม้ไม่เกี่ยวข้องกับมัลแวร์ก็ตามแต่มีพฤติกรรมที่น่าสงสัย สามารถตรวจจับย้อนหลังแม้จะตรวจหาไม่พบในการวิเคราะห์ขั้นต้น นอกจากนี้ยังสามารถแจ้งเตือนแบบกลุ่มกับผู้เกี่ยวข้องเพื่อเสริมประสิทธิภาพของ SOC อีกด้วย

ผสาน Endpoint Security และ Managed Defend

  • Endpoint Security ประกอบด้วย Endpoint Protection(EP) และ Endpoint Detection and Respond(EDR) คือความสามารถเพื่อช่วยให้องค์กรสามารถตรวจจับภัยคุกคามโดยอาศัย Signature และ พฤติกรรม รวมถึงข้อมูลจากเครื่องมือค้นหาในเชิงลึก
  • Managed Defense (FireEye as a Service) ออกแบบมาเพื่อตรวจจับพฤติกรรมการโจมตีที่ซ่อนเร้นโดยฐานข้อมูลและผู้เชี่ยวชาญของบริษัท

ดังนั้นการผสมผสานทั้งสองโซลูชันทำให้องค์กรสามารถตอบโจทย์ด้านการป้องกันภัยคุกคามได้อย่างครบถ้วนสมบูรณ์

นอกจากนี้ในส่วนของราคาและแพ็กเกจนั้น FireEye ได้นำเสนอ Subscription รายปีแก้องค์กรเพื่อความยืดหยุ่นสำหรับผลิตภัณฑ์ คือ FireEye Endpoint Security, FireEye Network Security, FireEye Email Security และ Security Suite (รวมทุกผลิตภัณฑ์แล้ว) และในวาระการเป็นพันธมิตรกับ Oracle ทำให้ Email Security สามารถรองรับกับ Oracle Cloud ได้แล้วเช่นกัน

ที่มา : https://www.securityweek.com/fireeye-unveils-new-solutions-capabilities และ https://www.fireeye.com/company/press-releases/2018/fireeye-introduces-new-email-security-capabilities-driven-by-dee.html และ https://www.fireeye.com/company/press-releases/2018/fireeye-unveils-smartvision-edition-to-detect-stealthy–maliciou.html และ https://www.fireeye.com/company/press-releases/2018/-fireeye-delivers-end-to-end-protection-with-next-generation-end.html

from:https://www.techtalkthai.com/fireeye-debuts-smartvision-solution-and-upgrade-email-capabilities-to-respond-apt/

Advertisements

รัสเซียแบนไอพีของ Amazon และ Google กว่า 1.8 ล้านไอพี

องค์กรกำกับดูแลสื่อสารมวลชนหรือ  Roskomnadzor ได้แบนไอพีของ Amazon และ Google กว่า 1.8 ล้านไอพีเพื่อตอบโต้จากการที่แอปพลิเคชัน Telegram ปฏิเสธการให้ความร่วมมือในการส่งมอบกุญแจการเข้ารหัสของลูกค้าให้กับหน่วยข่าวกรองของรัสเซียหรือ FSB และ Telegram ได้ย้ายเซิร์ฟเวอร์ขึ้นใช้ Amazon และ Google แทน

freepnglogos.com

โดยหลังจากที่ Telegram ย้ายระบบไปบน Cloud ของ AWS และ Google ทาง Roskomnadzor จึงได้ทำการบล็อกไอพีภายในวงดังนี้ คือ 52.58.0.0/15, 18.196.0.0/15, 18.194.0.0/15, 18.184.0.0/15, 35.156.0.0/14 และ 35.192.0.0/12 เพื่อป้องกันการเชื่อมต่อจาก Client ภายในประเทศไปหาเซิร์ฟเวอร์เมื่อวันที่ 13 เมษายนที่ระดับ ISP

ปัญหาที่ตามมาจากการที่บล็อกไอพีทั้งวงคือการใช้ปกติจำนวนมาก เช่น เว็บไซต์ เกมออนไลน์ แอปพลิเคชันมือถือ และบริการกลุ่ม Cryptocurrency ไม่สามารถใช้งานได้ไปด้วย ซึ่งทำให้ผู้ได้รับผลกระทบออกมาว่ากล่าวกันยกใหญ่ผ่าน Social Media ถึงเหตุการณ์ครั้งนี้

ที่มา : https://www.bleepingcomputer.com/news/government/russia-bans-18-million-amazon-and-google-ips-in-attempt-to-block-telegram/

from:https://www.techtalkthai.com/russian-banned-telegram-via-aws-and-gcp-ip/

TechTalk Webinar: วิดีโอย้อนหลังเรื่อง “Best Practices การออกแบบระบบ DNS อย่างมีประสิทธิภาพและมั่นคงปลอดภัย”

สำหรับผู้ที่ไม่ได้เข้าชมการบรรยาย TechTalk Webinar เรื่อง “Best Practices การออกแบบระบบ DNS อย่างมีประสิทธิภาพและมั่นคงปลอดภัย” โดย Infoblox ประเทศไทย ที่เพิ่งจัดไปเมื่อปลายเดือนมีนาคมที่ผ่านมา หรือต้องการรับชมการบรรยายซ้ำอีกครั้ง สามารถดูวิดีโอบันทึกย้อนหลังได้ที่บทความนี้ครับ

ผู้บรรยาย: พีรวัธน์ กิตติวัชราพงษ์, Systems Engineer, Infoblox (Thailand)

DNS ถือเป็นหัวใจสำคัญสำหรับสนับสนุนระบบแอปพลิเคชันในปัจจุบันที่ให้บริการแบบ as a Service ยิ่งระบบ DNS มีประสิทธิภาพมากเท่าไหร่ ผู้ใช้ย่อมสามารถเข้าถึงแอปพลิเคชันได้เร็วมากเท่านั้น ในทางกลับกัน ถ้าระบบ DNS ไม่สามารถให้บริการได้ ย่อมหมายความระบบแอปพลิเคชันจะล่มตามทันที การออกแบบระบบ DNS ให้มีประสิทธิภาพ มั่นคงปลอดภัย และพร้อมใช้งานตลอดเวลาจึงกลายเป็นเรื่องท้าทายอย่างยิ่งสำหรับผู้ดูแลระบบเครือข่ายในปัจจุบัน

ด้วยเหตุนี้ Infoblox จึงได้ร่วมกับ TechTalkThai จัด TechTalk Webinar เพื่อแนะนำแนวทางปฏิบัติที่ดีที่สุด (Best Practices) สำหรับการออกแบบระบบ DNS ซึ่งมีเนื้อหาดังนี้

ระบบ DNS คืออะไร

  • ภัยคุกคามบนระบบ DNS และตัวอย่างเหตุการณ์การโจมตีที่น่าสนใจ
  • แนวทางปฏิบัติที่ดีที่สุดสำหรับออกแบบระบบ DNS ทั้งภายนอกและภายในองค์กรให้มีประสิทธิภาพและมั่นคงปลอดภัย
  • วิธีการตรวจสอบ DNS Traffic เพื่อวิเคราะห์หาเหตุการณ์ที่ผิดปกติ ไม่ว่าจะเป็น การโจมตีไซเบอร์ มัลแวร์ หรือภัยคุกคามแบบ APTs
  • แนะนำ DNS Security Assessment โดย Infoblox DNS Cloud Service

from:https://www.techtalkthai.com/techtalk-webinar-dns-best-practice-video/

US-CERT เตือน! รัสเซียหนุนหลังการโจมตีอุปกรณ์ Network ทั่วโลก พร้อมเผยแนวทางระวังตัวสำหรับ Vendor, ISP, องค์กร และผู้ใช้งาน

ในการแจ้งเตือนรหัส TA18-106A ซึ่งเกิดจากความร่วมมือของหน่วยงาน FBI, DHS และ NCSC ของสหรัฐอเมริกาได้ออกมาแจ้งเตือนถึงการที่รัฐบาลรัสเซียได้หนุนหลังให้มีการโจมตีเจาะช่องโหว่ของอุปกรณ์ Router, Switch, Firewall, IDS และอื่นๆ ทั่วโลก โดยมีการรายงานถึงกลวิธี, เทคนิค และกระบวนการที่ถูกใช้ในการโจมตีครั้งนี้

 

Credit: US-CERT

 

ทั้งนี้ในรายงานนี้ก็ได้ระบุด้วยว่าทางรัฐบาลสหรัฐนั้นตรวจพบการโจมตีที่สนับสนุนโดยรัสเซียมาตั้งแต่ปี 2015 แล้ว โดยเป้าหมายในการโจมตีหลักๆ ถูกแบ่งออกเป็น 3 กลุ่ม ดังนี้

  • การเจาะช่องโหว่ใน Protocol เก่าๆ และเหล่าองค์กรที่ไม่ดูแลด้าน Security ของตนเอง
  • การโจมตี Router เพื่อเข้าตรวจสอบและควบคุม Traffic ต่างๆ รวมถึงระบบ Industrial Control System (ICS)
  • การเจาะอุปกรณ์ Network ต่างๆ โดยตรง เนื่องจากเป็นอุปกรณ์ที่เหล่าผู้ใช้งานมักไม่ดูแลให้ปลอดภัย ไม่แก้ไขอะไรตราบเท่าที่ยังใช้งานได้ รวมถึงหากอุปกรณ์เหล่านี้ผู้ผลิตไม่สนับสนุนการใช้งานแล้ว ผู้ใช้งานก็มักยังคงใช้งานต่อไปเพื่อประหยัดค่าใช้จ่าย

ทั้งนี้เมื่ออุปกรณ์เหล่านี้ถูกเจาะได้สำเร็จแล้ว ผู้ใช้งานก็มักจะไม่รู้ตัว และไม่มีการเปลี่ยนอุปกรณ์เหล่านี้ออกจากเครือข่ายด้วย โดยทาง US-CERT ได้เตือนให้เฝ้าระวัง Protocol และเครื่องมือต่างๆ ดังต่อไปนี้เป็นพิเศษ

  • Telnet
  • SNMP
  • TFTP
  • SMI
  • SIET
  • GRE Tunneling

ส่วนการรับมือเบื้องต้น ทาง US-CERT ได้ระบุแนวทางเอาไว้ดังนี้

สำหรับทุกองค์กร เจ้าของธุรกิจ และเหล่าผู้ให้บริการ

  • เลิกใช้ Management Protocol ทั้งหมดที่ไม่ได้มีการเข้ารหัส เช่น Telnet จากภายนอกองค์กร
  • ป้องกันไม่ให้ Management Interface ของอุปกรณ์ Networkd ใดๆ เชื่อมต่อกับ Internet ได้โดยตรง เปิดให้เชื่อมต่อได้เฉพาะกับเครื่องในวง Whitelist ใน LAN เท่านั้น
  • ปิด Protocol เก่าๆ ที่ไม่ปลอดภัยและไม่มีการเข้ารหัสทิ้งให้หมด เช่น Telnet, SNMPv1/v2c หันไปใช้ SSH และ SNMPv3 แทน พร้อมคอยดูแลให้ Protocol เหล่านี้อัปเดตล่าสุดอยู่เสมอเพื่อความปลอดภัย หากอุปกรณ์ที่ใช้งานอยู่ไม่รองรับ SNMPv3 ให้เลิกใช้งาน แล้วไปลงทุนกับอุปกรณ์ที่ใหม่กว่าแทน
  • เปลี่ยนรหัสผ่านแบบ Default ของอุปกรณ์ Network ทั้งหมดให้เป็นรหัสผ่านที่อยู่ในข่าย Strong และห้ามใช้รหัสผ่านเดียวกันในหลายอุปกรณ์ หากเป็นไปได้ให้ใช้ Two-factor Authentication โดยใช้ Public-Private Key แทน
  • ระบุในสัญญากับเหล่า ISP ให้ทำการดูแลอัปเดตอุปกรณ์ต่างๆ ที่นำมาให้ใช้งานในสัญญาเช่าให้ปลอดภัยอยู่เสมอด้วย และต้องเปลี่ยนอุปกรณ์เมื่ออุปกรณ์เหล่านั้น Vendor เลิกสนับสนุนแล้ว
  • ปิดการใช้งาน TFTP ที่มีปลายทางอยู่บน Internet ทั้งหมด
  • ตรวจสอบว่า Firmware และ OS ของอุปกรณ์นั้นมาจากแหล่งที่น่าเชื่อถือได้และพัฒนาโดย Vendor เสมอ

สำหรับ ISP

  • ห้ามใช้ Protocol หรือ Service ซึ่งโบราณ, ไม่เข้ารหัส  หรือใช้งานได้โดยไม่ต้องยืนยันตัวตนไม่ว่าจะบนอุปกรณ์ที่ไซต์ลูกค้าหรือภายใน Core Network ก็ตาม และต้องใส่ข้อบังคับเหล่านี้ลงไปในสัญญาจัดซื้อด้วย
  • ปิด Protocol ซึ่งโบราณ, ไม่เข้ารหัส  หรือใช้งานได้โดยไม่ต้องยืนยันตัวตนทั้งหมดบนทุกอุปกรณ์ทิ้ง ใช้ Protocol ที่เข้ารหัสแทนและอัปเดตเสมอให้ปลอดภัย
  • วางแผนเปลี่ยนอุปกรณ์เก่าๆ ที่ Vendor เลิกให้การสนับสนุนแล้วทันที
  • อัปเดต Software และ Security Patch ที่ติดตั้งใช้งานในไซต์ลูกค้าอยู่เสมอ หากไม่สามารถทำเองได้ให้ติดต่อลูกค้าเพื่อชี้แจงและส่งวิธีการอัปเดตให้ลูกค้าโดยตรง

นอกจากนี้ก็ยังมีแนวทางสำหรับเหล่าผู้ผลิตอุปกรณ์ และรายละเอียดเชิงลึกต่างๆ อีกด้วย สำหรับรายละเอียดฉบับเต็ม สามารถศึกษาได้ที่ https://www.us-cert.gov/ncas/alerts/TA18-106A ครับ แนะนำให้อ่านกันทุกท่านเลยนะครับ

 

ที่มา: https://www.us-cert.gov/ncas/alerts/TA18-106A

from:https://www.techtalkthai.com/us-cert-russia-state-sponsored-attack-are-hitting-worldwide/

Cloudflare เปิดตัว Spectrum พร้อมดูแลทั้ง 65,535 พอร์ต

Cloudflare ผู้ให้บริการระบบ CDN และ DDoS Mitigation ชื่อดัง เปิดตัวบริการใหม่ ชื่อว่า Spectrum พร้อมให้บริการ DDoS Protection, Load Balancing cละ Content Acceleration ทุกแอปพลิเคชันที่รันบน TCP/IT พอร์ตตั้งแต่ 1 ถึง 65,535

Credit: Cloudflare.com

Spectrum เป็นบริการใหม่ล่าสุดของ Cloudflare ที่เพิ่งเปิดตัวเมื่อวันพฤหัสบดีที่ผ่านมา โดยขยายการให้บริการจากพอร์ต 80 (HTTP) และ 443 (SSL) ไปเป็นตั้งแต่พอร์ตที่ 1 ถึง 65,535 ไม่ว่าจะเป็นบริการ Gaming, Remote Server Access (SSH), Email (SMTP) และอื่นๆ ครบทั้งสเปกตรัมของ TCP/IP ส่งผลให้ทุกแอปพลิเคชันอยู่ภายใต้การดูแลของ Cloudflare โดยลูกค้าสามารถเลือกใช้บริการได้ ดังนี้

  • DDoS Protection for TCP Services: ป้องกันระบบออนไลน์จากการโจมตีแบบ DDoS บน Layer 3 และ 4
  • Secure TCP Traffic with TLS: บริการเข้ารหัสข้อมูลสำคัญ เช่น รหัสผ่าน หรือข้อมูลธุรกรรมการเงิน บน TCP Services
  • IP Address & Range Blocking: บริการ IP Firewall สำหรับบล็อกหมายเลข IP ไม่เข้าถึง TCP Services ของลูกค้า

Bruce Blair, CTO ของ Hypixel บริษัทเกมที่เคยตกเป็นเหยื่อของการโจมตีแบบ DDoS จาก Mirai Botnet ระบุว่า “ก่อนใช้ Spectrum พวกเราได้แต่หวังพึ่งบริการที่ไม่ค่อยเสถียรและเทคนิคที่เพิ่ม Latency ซึ่งทำให้ประสบการณ์ที่ลูกค้าได้รับแย่ลง แต่ตอนนี้ พวกเราได้รับการปกป้องโดยที่ไม่มี Latency เพิ่มเติม ทำให้ Spectrum เป็นทางเลือกที่ดีที่สุดสำหรับบริการที่มีประเด็นด้าน Latency และ Uptime อย่างเกมออนไลน์”

ผู้ที่สนใจสามารถดูรายะเอียดเกี่ยวกับบริการได้ที่: https://www.cloudflare.com/products/cloudflare-spectrum/

from:https://www.techtalkthai.com/cloudflare-releases-spectrum-to-protect-all-tcp-services/

สรุปงาน Chill out with cyfence experts พร้อมคลิปวิดีโอ

CAT cyfence จัดงาน Chill out with cyfence experts เพื่อแชร์สถานการณ์ภัยคุกคามและปลอดภัยล่าสุด พร้อมอัปเดต OWASP Top 10 ฉบับใหม่ปี 2017 รวมไปถึงแนวโน้มทางด้าน Ransomware และ Cryptojacking พร้อมวิธีรับมือ ผู้ที่สนใจสามารถรับชมวิดีโอสรุปงานได้ที่บทความนี้

Chill out with cyfence experts จัดขึ้นเมื่อวันที่ 29 มีนาคมที่ผ่านมา ที่ Growth cafe & co. สยามสแควร์ภายใต้แนวคิดการแชร์ความรู้กับผู้เชี่ยวชาญ ภายใต้บรรยากาศแบบสบายๆ โดยมีผู้เข้าร่วมงานจากอุตสาหกรรมต่างๆ ไม่ว่าจะเป็น หน่วยงานรัฐ สถาบันการเงิน สถานศึกษา ค้าปลีก และอุตสาหกรรมการผลิต รวมแล้วเกือบ 30 ท่านให้ความสนใจเข้าร่วมงานครั้งนี้

“จุดประสงค์หลักของการจัดงาน Chill out with cyfence experts ครั้งนี้ คือ เพื่อแชร์สถานการณ์ภัยคุกคามบนโลกออนไลน์ใกล้ตัวที่ทางศูนย์ SOC ของ CAT cyfence รวบรวมมาตลอดปี 2017 รวมไปถึงอัปเดตเทรนด์ทางด้านความมั่นคงปลอดภัยล่าสุด ได้แก่ OWASP Top 10 ฉบับใหม่ การปกป้องเซิร์ฟเวอร์ขององค์กร และการรับมือกับการโจมตีแบบ Ransomware และ Cryptojacking นอกจากนี้ เรายังต้องการเปิดโอกาสให้หน่วยงานต่างๆ สามารถพูดคุยและแลกเปลี่ยนความคิดเห็นกับผู้เชี่ยวชาญของ CAT cyfence อีกด้วย” — คุณกัณณิกา วรคามิน ผู้จัดการฝ่ายผลิตภัณฑ์ความปลอดภัยเทคโนโลยีสารสนเทศหรือ CAT cyfence กล่าว

ภายในงานจะแบ่งออกเป็น 3 เซสชัน ผู้ที่สนใจสามารถดูวิดีโอย้อนหลังได้ด้านล่าง

หัวข้อที่ 1: OWASP Top 10-2017 พร้อมวิธีป้องกันระบบเซิร์ฟเวอร์ขององค์กร โดยคุณวิโรจน์ จ้อยประเสริฐ ผู้เชี่ยวชาญด้านความปลอดภัยจาก CAT cyfence

หัวข้อที่ 2: Cybersecurity Threats Analysis and investigations โดยคุณรุ่งชัย อัตตวิริยะสุวร ผู้จัดการศูนย์ Security Operation Center ของ CAT cyfence

หัวข้อที่ 3: สรุปแนวโน้ม Ransomware และ Cryptojacking พร้อมแนะนําวิธีรับมือโดยคุณ Jatuporn Pungsuar จาก Trend Micro
วิดีโอจาก youtube

ผู้ที่สนใจพูดคุยหรือปรึกษาประเด็นด้านความปลอดภัยกับทีมผู้เชี่ยวชาญจาก CAT cyfence สามารถติดได้ที่ CAT Contact Center: 1322 หรือเว็บไซต์ https://www.catcyfence.com/it-security/

from:https://www.techtalkthai.com/chill-out-with-cyfence-experts-by-cat-cyfence/

พบ Matrix Ransomware แบบใหม่แพร่ผ่านการแฮ็ก Remote Desktop

นักวิจัยจาก MalwareHunterTeam ได้ค้นพบ Ransomware ตระกูล Matrix 2 ตัวที่ถูกติดตั้งหลังจากโจมตี Remote Desktop ที่เชื่อมต่อผ่านอินเทอร์เน็ตด้วยวิธีการ Brute-force รหัสผ่าน อีกทั้ง Ransomware ทั้งสองตัวนี้ไม่สามารถถอดรหัสข้อมูลแบบฟรีๆ ได้

credit : Bleepingcomputer.com

พฤติกรรมที่เหมือนกันของทั้งสองตัวคือแฮ็กเกอร์จะต้องแฮ็กผ่านบริการ Remote Desktop เสียก่อนเพื่อเข้าไปติดตั้งและรันมัลแวร์ หลังจากนั้นมันจะทำการเข้ารหัส Network share ที่ไม่ได้ถูก Map  แสดงหน้าต่างสถานะการเข้ารหัส ทำลาย Shadow volume copy สุดท้ายคือเข้ารหัสชื่อไฟล์ รวมถึงมีการเปลี่ยนพื้นหลังด้วย

สายพันธุ์แรก : Files4463@tuta.io

  • มีการแสดงหน้าต่าง 2 หน้าต่างคือ ข้อความแสดงสถานะของการเข้ารหัส และ ข้อมูลเกี่ยวกับการสแกนหา Network Share
  • เข้ารหัสชื่อไฟล์ต่อท้ายด้วย Files4463@tuta.io
  • ทิ้งโน๊ตไว้ในแต่ละโฟลเดอร์ที่ถูกสแกนชื่อ !ReadMe_To_Decrypt_Files!.rtf ซึ่งมีอีเมลติดต่อของแฮ็กเกอร์คือ File4463@gmail.com,  File4463@tuta.io และ  File4463@protonmail.ch
credit : Bleepingcomputer.com

สายพันธ์ุสอง : RestorFile@tutanota.com

ลักษณะคล้ายกับสายพันธุ์แรกที่แตกต่างกันคือ
  • มีข้อความ Debug ดีกว่าแบบแรก
  • เข้ารหัสข้อมูลด้วยชื่อ RestorFile@tutanota.com
  • ใช้คำสั่ง Cipher.exe /w:c เพื่อเขียนทับพื้นที่ว่างบนคอมพิวเตอร์ในไดร์ฟ C:\ หลังเข้ารหัสเสร็จ (ปกติแล้วคำสั่งนี้เป็นเครื่องมือ Build-in ใน Windows สามารถใช้เพื่อการลบข้อมูลอย่างถาวรโดยการเขียนข้อมูลทับเพื่อป้องกันเครื่องมือกู้คืนข้อมูล)
  • ทิ้งโน๊ตไว้ชื่อ #Decrypt_Files_ReadMe#.rtf อีเมลติดต่อของแฮ็กเกอร์คือ RestorFile@tutanota.com, RestorFile@protonmail.com และ RestorFile@qq.com

ผู้เชี่ยวชาญแนะวิธีการป้องกันดังนี้

  • มีการ Backup ข้อมูลที่น่าเชื่อถือพร้อมทั้งทำการทดสอบการกู้ข้อมูลในกรณีฉุกเฉินเช่น Ransomware เป็นต้น
  • ตรวจสอบให้แน่ใจว่าไม่มีคอมพิวเตอร์ในองค์กรหรือเครือข่ายที่สามารถทำการ Remote Desktop จากภายนอกได้ หากจำเป็นจริงๆ ให้วางไว้หลัง VPN
  • วางนโนบายการล็อกบัญชีเพื่อให้ทำการ Brute-force ได้ยากขึ้น
  • อย่าลืมติดตั้งซอฟต์แวร์ด้านความมั่นคงปลอดภัยที่มีประสิทธิภาพด้วย
  • ฝึกฝนนิสัยการใช้งาน อย่าเปิดไฟล์แนบที่ไม่น่าไว้ใจ จนกว่าจะสามารถยืนยันได้ว่าผู้ส่งน่าเชื่อถือและตั้งใจส่งมาจริง
  • อัปเดต Windows และโปรแกรมเสริมอื่นๆ อย่างสม่ำเสมอ

ที่มา : https://www.bleepingcomputer.com/news/security/new-matrix-ransomware-variants-installed-via-hacked-remote-desktop-services/

from:https://www.techtalkthai.com/researcher-found-new-matrix-ransomware-spread-after-hacked-rds/