คลังเก็บป้ายกำกับ: RANSOMWARE

[PR] เทรนด์ ไมโคร เตือนแรนซัมแวร์ แบด แรบบิต (Bad Rabbit) โจมตีหว่าน หลอกหลวงเจาะผ่านช่องโหว่ และแตกตัวแพร่กระจายผ่านเครือข่ายภายในระบบขนส่งและช่องทางการเผยแพร่ในประเทศยูเครนและรัสเซีย ได้รับความเสียหายหนัก

มัลแวร์เรียกค่าไถ่  หรือ แรนซัมแวร์  (Ransomware) ในตระกูลเพตย่า (Petya) ซึ่งมีชื่อเรียกว่า แบด แรบบิต (Bad Rabbit)  (ตรวจพบในชื่อ RANSOM_BADRABBIT.A) กำลังเดินหน้าโจมตีประเทศในแถบยุโรปตะวันออกอย่างต่อเนื่อง โดยผลิตภัณฑ์รักษาความปลอดภัย  เทรนด์ ไมโคร เอ็กซ์เจน (Trend Micro XGen™) ที่มีขีดความสามารถด้านการเรียนรู้ของเครื่องสามารถตรวจจับมัลแวร์เรียกค่าไถ่นี้ได้ในชื่อ TROJ.Win32.TRX.XXPE002FF019 โดยไม่จำเป็นต้องอัปเดตแพทเทิร์นเพิ่มเติม การโจมตีดังกล่าวเกิดขึ้นเมื่อไม่กี่เดือนหลังจากการระบาดของเพตย่า (Petya) ก่อนหน้านี้ ซึ่งส่งผลกระทบต่อหลายประเทศในยุโรปเมื่อเดือนมิถุนายน

รายงานเบื้องต้นระบุว่าความเสียหายหลักๆ เกิดขึ้นกับระบบขนส่งและช่องทางการเผยแพร่สื่อในประเทศยูเครนและรัสเซียโดยตรง นอกจากนี้ ทีมงานเซิร์ต (CERT) (CERT-UA) ในยูเครนยังออกคำเตือนเกี่ยวกับการโจมตีที่อาจเกิดขึ้นอีกเพิ่มเติมของมัลแวร์เรียกค่าไถ่ตัวนี้ด้วย

การวิเคราะห์เบื้องต้น

รูปที่ 1: ห่วงโซ่การติดเชื้อแบด แรบบิต  (Bad Rabbit)

การวิเคราะห์เบื้องต้นของเราพบว่า แบด แรบบิต (Bad Rabbit) แพร่ระบาดผ่านการโจมตีในรูปแบบ วอเตอริ่ง โฮล (Watering Hole) หรือ การโจมตีเว็บไซต์ที่คาดว่าจะมีผู้ใช้งานจำนวนมากเข้ามาใช้บริการ ที่นำไปสู่การบังคับให้ผู้เข้าใช้งานต้องติดตั้งโปรแกรมติดตั้งแฟลช  (Flash) ปลอมที่ชื่อว่า “install_flash_player.exe” โดยเว็บไซต์ที่ถูกบุกรุกจะได้รับสคริปต์ที่มียูอาร์แอล (URL) ซึ่งทำหน้าปรับเปลี่ยนเป็น hxxp://1dnscontrol[.]com/flash_install ทำให้ไม่สามารถเข้าถึงเว็บไซต์ได้เหมือนปกติจนกว่าจะติดตั้งโปรแกรมปลอมก่อน เราสังเกตเห็นไซต์ที่ถูกบุกรุกบางแห่งจากประเทศบัลแกเรีย เอสโตเนีย เยอรมนี ฮังการี ญี่ปุ่น สโลวะเกีย ยูเครน และรัสเซีย ถูกใช้เป็นเครื่องมือในการจัดส่งโปรแกรมติดตั้งแฟลช  (Flash) ปลอมไปอย่างแพร่หลาย ซึ่งเว็บไซต์เหล่านี้ได้รับการเข้าเยี่ยมชมจากผู้ใช้ในญี่ปุ่น ตุรกี รัสเซีย และอีกหลายประเทศ

รูปที่ 2: โค้ดแสดงสคริปต์ที่ถูกแทรกในระบบ

เมื่อคลิกโปรแกรมติดตั้งปลอม จะมีการใส่ไฟล์เข้ารหัส infpub.dat เข้าระบบโดยใช้กระบวนการ rundll32.exe พร้อมกับไฟล์ถอดรหัส dispci.exe โดย Bad Rabbit จะใช้ไฟล์ทั้งสาม (อ้างอิงเรื่อง Game of Thrones เป็นตัวหลอกล่อ) ซึ่งเริ่มต้นด้วยไฟล์ rhaegal.job มีหน้าที่รันไฟล์ถอดรหัส และไฟล์งานที่สอง drogon.job มีหน้าที่ปิดระบบของเครื่องที่ตกเป็นเหยื่อ จากนั้นมัลแวร์เรียกค่าไถ่จะเรียกใช้ไฟล์เข้ารหัสในระบบและแสดงข้อความเรียกค่าไถ่ตามที่แสดงข้างต้น

รูปที่ 3: ข้อความเรียกค่าไถ่ของ Bad Rabbit ที่แสดงคีย์การติดตั้ง

ส่วนไฟล์ที่สามที่ชื่อว่า viserion_23.job จะทำหน้าที่รีบูตระบบเป้าหมายเป็นครั้งที่สอง จากนั้นหน้าจอจะถูกล็อคและข้อความต่อไปนี้จะปรากฏขึ้น

รูปที่ 4: ข้อความเรียกค่าไถ่ของ Bad Rabbit ปรากฏขึ้นหลังจากรีบูตระบบ

จากการวิเคราะห์ในเบื้องต้นของเราพบว่า Bad Rabbit แพร่กระจายไปยังคอมพิวเตอร์เครื่องอื่นๆ ในเครือข่ายด้วยการทิ้งสำเนาของตัวเองไว้ในเครือข่ายโดยใช้ชื่อเดิมและเรียกใช้สำเนาที่ทิ้งไว้ดังกล่าวโดยใช้ Windows Management Instrumentation (WMI) และ Service Protocol Manager Remote Protocol เมื่อเรียกใช้ Service Control Manager Remote Protocol มัลแวร์ก็จะสามาถใช้การโจมตีโดยใช้พจนานุกรมเพื่อค้นหาข้อมูลประจำตัวได้

สำหรับเครื่องมือโจมตีที่ทำงานร่วมกับ Bad Rabbit ได้แก่ ยูทิลิตี้โอเพนซอร์สที่ชื่อว่า Mimikatz ซึ่งจะทำหน้าที่ในการดึงข้อมูลประจำตัวออกมา นอกจากนี้ เรายังพบหลักฐานการใช้ DiskCryptor ซึ่งเป็นเครื่องมือการเข้ารหัสดิสก์ที่ถูกต้องเพื่อเข้ารหัสระบบเป้าหมายด้วย

นอกจากนี้ Bad Rabbit ยังแพร่กระจายผ่านโปรโตคอลการแชร์ไฟล์ SMB ด้วย โดยพยายามบังคับให้ส่วนดูแลระบบทำการแชร์คีย์ถอดรหัสที่ถูกต้อง หากประสบความสำเร็จ มัลแวร์ก็จะทิ้งสำเนาของตัวเองลงในการแชร์เหล่านั้น แต่หากการโจมตีในการค้นหาคีย์ที่ถูกต้องเพื่อถอดรหัสล้มเหลว มัลแวร์ก็จะใช้ช่องโหว่ EternalBomance SMB ที่มีการกำหนดไว้ใน MS17-010 ทั้งนี้ช่องโหว่ดังกล่าวได้รับการแก้ไขแล้วในเดือนมีนาคมที่ผ่านมา

ช่องโหว่ที่เกิดขื้น (Custom Exploit)

โปรแกรมการเจาะที่เรียกว่า EternalSynergy และช่องโหว่อื่นๆ  ที่มาจากกลุ่มแฮกเกอร์ที่เรียกว่า Shadow Brokers  เป็นโปรแกรม อเนกประสงค์ที่ใช้เทคนิคเหมือนกัน  สามารถนำไปใช้กับช่องโหว่ที่แตกต่างกัน  ทั้งโปรแกรมการเจาะระบบ  EternalRomance    EternalChampion  และEternalSynergy ได้แบ่งปันวิธีการของโหว่    สำหรับกรณีของ Bad Rabbit  ได้ใช้ช่องโหว่ของการรั่วไหลของหน่วยความจำ เป็นเทคนิค เช่นเดียวกับ EternalSynergy และ EternalChampion ของกลุ่ม Shadow Brokers

เราคาดการณ์ว่า ช่องโหว่ที่ใช้ใน  Bad Rabbit  เป็นเวอร์ชั่นที่ทำขึ้นจาก EternalSynergy เป็นเทคนิคที่แชร์การรั่วของหน่วยความจำที่ EternalSynergy ใช้    ด้านล่างเป็นการแสดงให้เห็นถึงการทำงานของหนึ่งในสองแบบของ Bad Rabbit 

รูปที่ 5: Code snippet ข้างต้น ได้แสดงช่องโหว่ของ Bad Rabbit (ซ้าย) และ  EternalSynergy ของกลุ่ม Shadow Brokers (ขวา) ที่ใช้เทคนิคการรั่วไหลของความจำเหมือนกัน

การบรรเทาความเสียหายและแนวทางปฏิบัติที่ดีที่สุด

ผู้ใช้สามารถลดผลกระทบของมัลแวร์เรียกค่าไถ่อย่าง Bad Rabbit ได้โดยใช้แนวทางปฏิบัติที่ดีที่สุดซึ่งมีรายละเอียดอยู่ในคู่มือนี้

โซลูชั่นของเทรนด์ ไมโคร

เทรนด์ ไมโคร เอ็กซ์เจน (Trend Micro XGen™)  เป็นผลิตภัณฑ์รักษาความปลอดภัยที่ผสานรวมเทคนิคการป้องกันภัยคุกคามในหลายรูปแบบเพื่อรับมือกับภัยคุกคามที่เกิดขึ้นกับศูนย์ข้อมูล ระบบคลาวด์ เครือข่าย และอุปกรณ์ปลายทางได้อย่างครอบคลุม มาพร้อมคุณสมบัติด้านการเรียนรู้ของเครื่องที่มีความเที่ยงตรงสูงในการรักษาความปลอดภัยข้อมูลเกตเวย์และอุปกรณ์ปลายทาง รวมถึงแอพพลิเคชั่นและการป้องกันงานทั้งในระบบจริง ระบบเสมือน และระบบคลาวด์ นอกจากนี้ยังมาพร้อมความสามารถอีกหลายอย่าง เช่น การกรองเว็บ/URL การวิเคราะห์พฤติกรรม และการปรับแต่งแซนด์บ็อกซ์ได้เอง ทำให้ เอ็กซ์เจน (XGen™) ช่วยป้องกันภัยคุกคามที่ถูกสร้างขึ้นมาอย่างมีเป้าหมายในปัจจุบันซึ่งสามารถเลี่ยงผ่านระบบควบคุมแบบดั้งเดิม ใช้ประโยชน์จากช่องโหว่ทั้งที่ทราบและไม่ทราบ หรือช่องโหว่ที่ไม่มีการเปิดเผย รวมถึงการขโมยหรือการเข้ารหัสลับข้อมูลส่วนบุคคล ทั้งนี้เอ็กซ์เจน  (XGen™) เป็นระบบอัจฉริยะที่มีประสิทธิภาพสูงและพร้อมเชื่อมต่อเข้ากับระบบต่างๆ ภายใต้การสนับสนุนของชุดโซลูชั่นรักษาความปลอดภัยของเทรนด์ ไมโคร ได้แก่ Hybrid Cloud Security, User Protection และ Network Defense

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับโซลูชั่นของบริษัท เทรนด์ ไมโคร โปรดดูที่บทความนี้

แฮช SHA256 ต่อไปนี้ได้รับการตรวจพบว่าเป็น RANSOM_BADRABBIT.A:

630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da

8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93

แฮชเพิ่มเติมที่เกี่ยวข้องกับมัลแวร์เรียกค่าไถ่ตัวนี้:

install_flash_player.exe:

  • 630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da

infpub.dat:

  • 579fd8a0385482fb4c789561a30b09f25671e86422f40ef5cca2036b28f99648
  • 141d45d650580ed4b0d0fc4b8fd5448da67b30afbe07781da02c39d345a8f4a0

dispci.exe:

  • 8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93

###

from:https://www.techtalkthai.com/trend-micro-warns-band-rabbit-ransomware/

Advertisements

[สัมภาษณ์] Sophos ชี้ 3 ภัยน่ากลัวและรุนแรงขึ้น Exploits-Ransomware-Phishing

ทางทีมงาน Enterprise ITPro ได้มีโอกาสเข้าร่วมสัมภาษณ์ คุณสุมิต บันซอล ผู้อำนวยการของ Sophos ประจำภูมิภาคอาเซียน และเกาหลี ซึ่งได้บินมาเมืองไทย เพื่ออัพเดตข้อมูลเรื่องราวของความปลอดภัยและภัยคุกคามที่เกิดขึ้นทั่วโลก รวมถึงในภูมิภาคอาเซียนและประเทศไทย พร้อมทั้งยังแนะนำโซลูชั่นในการจัดการกับภัยคุกคามที่มาพร้อมกับฟีเจอร์ใหม่ๆ อีกมากมาย

คุณสุมิต เล่าว่าภัยคุกคามเพิ่มขึ้นอย่างต่อเนื่อง ด้วยส่วนผสมของปัจจัยหลายๆ อย่าง และมีการจัดอันดับภัยคุกคามที่จะเพิ่มมากขึ้นออกมาอย่างมากมายหลายชนิด โดยระบุว่าจะมีภัย 3 ประการที่น่ากลัวมากขึ้นไม่ว่าจะเป็น Exploits การใช้ประโยชน์จากช่องโหว่ของผลิตภัณฑ์ที่ยังไม่ได้แพทช์, ถัดมา Ransomware เป็นภัยคุกคามที่ทำเงินได้อย่างมหาศาล โดยบางรายสามารถมันทำเงินได้มากเกือบๆ 4 แสนเหรียญฯ เลยทีเดียว และต่อมา Phishing ซึ่งก็พบว่ายังมีมาอย่างต่อเนื่องไม่เว้นแต่ละวัน

การจัดการกับภัยต่างๆ เหล่านั้น จำเป็นต้องหาเครื่องมือที่มีความสามารถ และทำงานควบคู่ผสานกันได้อย่างลงตัวไม่ว่าจะเป็นฝั่งเน็ตเวิร์ก หรือฝั่งผู้ใช้งาน โดยในกรณีของ Sophos ก็มีโซลูชันที่ค่อนข้างแอดวานซ์ เราเรียกว่า Synchronized Security Platform ซึ่งมีอยู่ในผลิตภัณฑ์ไฟร์วอลล์ของ Sophos โดยการทำงานของมันจะเชื่อมโยงกันทั้งในส่วนของเน็ตเวิร์ก, คลาวด์, และ ยูสเซอร์ ทำให้สร้างระบบการป้องกันสูงสุด และปัจจุบันผลิตภัณฑ์ของ Sophos ก็ได้รับการยืนยันแล้วว่าเป็นผู้นำด้านเน็ตเวิร์กและเอ็นด์พอยท์ซีเคียวริตี้จากบริษัทวิจัยชั้นนำด้วย

ล่าสุดคุณสุมิตยังได้เปรยถึงผลิตภัณฑ์ Sophos XG Next-Gen Firewall รุ่นใหม่ล่าสุด ที่สร้างปรากฏการณ์ใหม่ในความสามารถการมองเห็นเครือข่าย ด้วยการใช้ระบบความปลอดภัยแบบซิงโครไนซ์ในการเรียกดูข้อมูลจากเอนด์พอยต์ ทำให้ไฟร์วอลล์ XG นี้สามารถระบุ, จัดประเภท, และเปิดให้สามารถควบคุมแอพพลิเคชั่นที่ไม่เคยรู้จักมาก่อนหน้าทั้งหมดที่ใช้งานบนเครือข่ายได้ เช่น แอพพลิเคชั่นที่ไม่เคยมีซิกเนเจอร์ หรือแอพที่ใช้การเชื่อมต่อผ่าน HTTP หรือ HTTPS แบบทั่วไป ฟีเจอร์ Synchronized App Control แบบไฟร์วอลล์ XG นี้ถือเป็นฟีเจอร์ใหม่ที่ไม่เคยมีมาก่อนในตลาด ซึ่งสามารถลดความเสี่ยงด้านความปลอดภัยที่เกิดจากทราฟิกที่ระบุไม่ได้ ด้วยการเปิดให้แอดมินมองเห็นตัวตนบนเครือข่ายได้อย่างชัดเจน

Synchronized App Control นี้จะโยงความสัมพันธ์ของแอพพลิเคชั่นที่ค้นพบใหม่อย่างอัตโนมัติ ด้วยการจัดประเภทอย่างเหมาะสมเท่าที่เป็นไปได้มากที่สุด และเปิดให้แอดมินเข้ามาเลือกจัดแอพที่ไม่รู้จักดังกล่าวเข้าไปในกลุ่มสำหรับปิดกั้น หรือเปิดให้ความสำคัญแก่ทราฟิกของแอพได้ดังใจ พร้อมทั้งมีการรายงานกิจกรรมของแอพพลิเคชั่นเชิงลึกโดยเฉพาะทราฟิกที่เกิดขึ้นในแต่ละวันด้วย

Sophos XG Firewall นี้มีจำหน่ายทั้งในรูปแบบสำหรับติดตั้งในองค์กร และในรูปบริการบนคลาวด์ ซึ่งมีให้เลือกบนแพลตฟอร์มเวอร์ช่วลชื่อดังในตลาดเกือบทั้งหมด รวมทั้งผ่าน Microsoft Azure Marketplace ด้วย โดยทั้งโซลูชั่น Sophos Endpoint Protectionและโซลูชั่นแอนติแรนซั่มแวร์แบบ Next-Gen อย่าง Intercept X จะเติมเต็มบนไฟร์วอลล์ XG ด้วยการสนับสนุนข้อมูลผ่านระบบความปลอดภัยแบบซิงโครไนซ์ สำหรับความสามารถในการระบุตัวตนทราฟิกระดับใหม่นี้อีกทางหนึ่ง

นอกจากนี้ Sophos ยังได้เปิดตัวแอพพลายแอนซ์ XG แบบฮาร์ดแวร์ใหม่ล่าสุด ที่อยู่ในรูประบบแบบม็อดดูลาร์สำหรับการเชื่อมต่อที่หลากหลาย ซึ่งรวมถึงโมดูลแบบ Flexi Port ด้วย โดยการเพิ่มคู่พอร์ตที่สำรองการทำงานแบบ Fail-Safe Bypass แบบออนบอร์ดบนแอพพลายแอนซ์ขนาด 1U ทุกตัว และทางเลือกเพิ่มเติมในรูปโมดูล Flexi Port แบบบายพาสสำหรับโมเดล XG Series ขนาด 1U และ 2U รวมทั้งโมดูลทางเลือกเพิ่มเติมสำหรับฟีเจอร์ Power over Ethernet (PoE) ทำให้สามารถใช้ประโยชน์จากระบบความปลอดภัยแบบซิงโครไนซ์นี้ได้ในทุกสภาพแวดล้อมการทำงาน

from:https://www.enterpriseitpro.net/archives/8704

Carbon Black เผย Ransomware ราคาถูกและทำกำไรได้งดงาม

จากการสำรวจพบว่า Ransomware สามารถหาซื้อได้ง่ายในราคาถูกและยังทำรายได้ให้กับผู้สร้างมหาศาล ในบทความนี้ Carbon Black ผู้ให้บริการโซลูชัน Advanced Endpoint Protection ชื่อดัง ออกมาสรุปสถิติราคาโดยเฉลี่ยของ Ransomware และรายได้ที่ผู้พัฒนามัลแวร์ได้รับ

ผลการศึกษาจาก  Carbon Black  พบว่าเว็บตลาดมืดที่มีชื่อเสียงกว่า 21 แห่งในเดือนสิงหาคมและกันยายน 2017 ที่ผ่านมา มีจำนวนผู้พัฒนา Ransomware เพิ่มสูงขึ้นมากกว่าจำนวนผู้พัฒนาซอฟต์แวร์แบบถูกกฏหมาย นอกจากนั้นมูลค่าของ Ransomware ในการขายใหญ่อาจมีราคาสูงถึง $6,000,000 เพิ่มขึ้นกว่าช่วงเดือนกันของปีก่อนถึง $500,000 โดยถูกกระจายในตลาดมืดประมาณ 6,300 แห่งและมีให้เลือกมากกว่า 63,000 ตัว

เจ้าของผลงาน Ransomware ที่ผลงานประสบความสำเร็จสามารถสร้างรายได้มหาศาล เพราะจากกว่าศึกษาพบว่าผู้ขายบางรายสามารถทำรายได้มากกว่า $100,000 ต่อปีจากการเป็นนายหน้าธรรมดาทั่วไป นี่เป็นรายเกือบ 2 เท่าตัวเมื่อเทียบกับนักพัฒนาซอฟต์แวร์ที่ถูกกฏหมายที่มีรายได้เฉลี่ยประมาณ $69,000 ต่อปีจากสถิติใน PayScale.com

ในระหว่างเดือนกันยายน Ransomware ที่มีชื่อเสียงมากที่สุดคือ Like6 Bitcoin Ransomware Easy Money System และ Philadepia Ransomware โดยมีราคาประมาณ $5 และ $1 ตามลำดับ ถ้าหากต้องการสั่งซื้อ Ransomware ที่มีการปรับปรุงแก้ไขจากต้นฉบับราคาจะตกอยู่ที่ประมาณ $1,470 และค่าเฉลี่ยในการซื้อขายทั่วไป Ransomware มีราคาเพียง $10.50 เท่านั้นเอง

ที่มา : https://www.scmagazine.com/not-good-ransomware-is-cheap-to-buy-and-developers-are-well-paid/article/701840/

from:https://www.techtalkthai.com/ransomware-easy-buy-and-cheap/

ผลสำรวจชี้ 59% ของพนักงานยอมควักเงินจ่ายค่าไถ่ Ransomware ด้วยตนเอง

Intermedia ผู้ให้บริการระบบ Cloud สำหรับธุรกิจออกมาเปิดเผยผลสำรวจล่าสุด พบ 59% ของพนักงานในองค์กรที่ถูก Ransomware โจมตี ยอมควักเงินจ่ายค่าไถ่ด้วยตนเองเพื่อให้สามารถปฏิบัติงานต่อไปได้ อย่างไรก็ตามทางองค์กรกลับบอกว่ามีเพียง 37% เท่านั้นที่พนักงานของตนจ่ายค่าไถ่

Credit: Nicescene/ShutterStock

จากการสำรวจพนักงานออฟิสมากกว่า 1,000 คนพบว่า สาเหตุหลักที่พนักงานยอมจ่ายค่าไถ่ด้วยตนเองเนื่องจากพนักงานเหล่านั้นรู้สึกอับอายที่ตัวเองตกเป็นเหยื่อของ Ransomware และต้องการที่จะรีบจ่ายค่าไถ่เพื่อให้ได้ข้อมูลทั้งหมดกลับคืนมาก่อนที่บริษัทจะทราบถึงเหตุการณ์ที่เกิดขึ้น ซึ่งค่าไถ่โดยเฉลี่ยแล้วอยู่ที่ประมาณ $1,400 (47,000 บาท)

ผลการสำรวจที่น่าสนใจประกอบด้วย

  • 70% ของพนักงานออฟฟิสได้รับการอบรมเพื่อรับมือกับภัยคุกคามไซเบอร์ ซึ่ง 30% ตระหนักถึงเหตุการณ์แพร่ระบาดของ WannaCry Ransomware
  • 31% ของผู้ตอบแบบสอบถามยอมรับว่าก่อนเข้ารับการอบรมไม่รู้จัก Ransomware มาก่อน
  • ปัญหาใหญ่สุดที่ก่อให้เกิดการสูญหายของข้อมูลคือความล้มเหลวของฮาร์ดแวร์ (30%) ตามมาด้วย Ransomware (29%)
  • 78% ของผู้ใช้เพศชายรู้ว่า Ransomware คืออะไร ในขณะที่เพศหญิงคิดเป็น 60%
  • 86% ของพนักงานออฟฟิสรู้สึกมั่นใจว่าพวกเขาสามารถตรวจจับอีเมล Phishing ได้
  • 21% ของพนักงานออฟฟิสยอมรับว่าพวกเขาล้มเหลวในการตรวจจับอีเมล Phishing
  • 34% ของเจ้าของหรือผู้บริหารระดับสูงยอมรับว่าพวกเขาล้มเหลวในการตรวจจับอีเมล Phishing
  • 25% ของพนักงาน IT ยอมรับว่าพวกเขาล้มเหลวในการตรวจจับอีเมล Phishng

ผู้ที่สนใจสามารถอ่านผลสำรวจฉบับเต็มได้ที่

ที่มา: https://www.bleepingcomputer.com/news/security/59-percent-of-employees-hit-by-ransomware-at-work-paid-ransom-out-of-their-own-pockets/

from:https://www.techtalkthai.com/59-percent-of-office-employees-pay-ransom-by-themselves/

เทรนด์ไมโครแนะนำวิธีป้องกันแรนซั่นแวร์ Bad Rabbit เบื้องต้น

Bad Rabbit เป็นแรนซั่มแวร์ตัวใหม่ล่าสุดที่จู่โจมยุโรปตะวันออกในขณะนี้ โดยพุ่งเป้าไปที่องค์กรด้านสื่อสารมวลชนในรัสเซีย และหน่วยงานด้านโครงสร้างพื้นฐานและการขนส่งในยูเครน ซึ่งจากการวิเคราะห์ของ Trend Micro เบื้องต้น พบความคล้ายคลึงกับ Petya ที่เคยระบาดเมื่อกลางปีที่ผ่านมาบางประการ

ประการที่สำคัญเลยคือ Bad Rabbit ได้ใช้ช่องโหว่บน Server Message Block (SMB) บนเครื่องเหยื่อเช่นเดียวกัน ซึ่งสำหรับผู้ที่ใช้ผลิตภัณฑ์ของ Trend Micro ที่มีเทคโนโลยี XGen™ จะสามารถตรวจจับและสกัดกั้นแรนซั่มแวร์ใหม่นี้ได้โดยอัตโนมัติ ส่วนผู้ใช้ทั่วไปนั้น ต้องระวังเว็บไซต์หลอกที่โดนแฮ็คให้ปล่อย Flash Player ปลอมที่มีแรนซั่มแวร์สิงอยู่

ข้อความเรียกค่าไถ่ของ Bad Rabbit

 

หน้าต่างการชำระเงินของ Ransomware ตัวนี้

ด้วยกลไกที่แพร่กระจายบนเครือข่ายของเหยื่อด้วยการสุ่มรหัสผ่านแบบ Dictionary Attack รวมทั้งค้นรหัสที่เก็บไว้บนเครื่องปัจจุบัน รวมทั้งบุกเข้าแชร์ไฟล์เท่าที่ทำได้ ซึ่งถ้าคุณอัพเดตระบบและแพทช์อยู่เสมอ โดยเฉพาะช่องโหว่ SMB (MS17-010) เมื่อมีนาคมที่ผ่านมา ก็ถือว่าปลอดภัยอีกระดับ นอกจากนี้ควรปฏิบัติตามแนวทางที่แนะนำเป็นมาตรฐาน ไม่ว่าจะเป็นการแบ๊กอัพเป็นประจำ, อบรมพนักงาน, และใช้โซลูชั่นความปลอดภัยแบบหลายระดับ เช่น Trend Micro™ Deep Discovery™ Email Inspector และ InterScan™ Web Security รวมถึง Trend Micro Smart Protection Suites เป็นต้น

อ่านฉบับเต็มที่นี่ : https://www.trendmicro.com/vinfo/us/security/news/cyber-attacks/protecting-yourself-from-bad-rabbit-ransomware

from:https://www.enterpriseitpro.net/archives/8535

Kaspesky เผยช่องโหว่ Bad Rabbit ชี้ไม่ต้องจ่ายค่าไถ่ก็อาจกู้คืนไฟล์ได้

Kaspersky Lab ผู้ให้บริการโซลูชัน Endpoint Protection ชื่อดัง ออกรายงานเปิดเผยช่องโหว่ของ Bad Rabbit Ransomware ที่กำลังแพร่ระบาดในแถบยุโรปตะวันออกอยู่ในขณะนี้ ระบุเหยื่อบางรายอาจโชคดีสามารถกู้คืนไฟล์ที่ถูกเข้ารหัสกลับมาได้ เนื่องจากข้อบกพร่อง 2 จุดของตัว Ransomware เอง

ข้อบกพร่องใหญ่สุดที่ Kaspersky ค้นพบคือ Bad Rabbit ไม่ได้ทำการลบ Volume Shadow Copies ซึ่งเป็นเทคโนโลยีบนระบบปฏิบัติการ Windows สำหรับทำ Snapshot ของไฟล์ขณะที่เปิดใช้งาน

โดยปกติแล้ว Ransomware จะทำการคัดลอกไฟล์แล้วเข้ารหัสไฟล์ที่ถูกคัดลอกมาใหม่ ก่อนจะลบไฟล์ต้นฉบับทิ้งไป ไฟล์ที่ถูกเข้ารหัสทั้งหมดจึงอยู่ในสถานะ “กำลังเปิดใช้งาน” ส่งผลให้ Shadow Copy ถูกสร้างขึ้นมาเก็บไว้บนฮาร์ดดิสก์ อย่างไรก็ตาม ไม่สามารถบอกได้ว่า Shadow Copy ของไฟล์ต้นฉบับจะถูกเก็บไว้นานแค่ไหน ขึ้นอยู่กับพื้นที่บนฮาร์ดดิสก์ที่เหลืออยู่

Ransomware ส่วนใหญ่จะทำการลบ Shadow Copy ทิ้งไป เพื่อป้องกันไม่ให้ซอฟต์แวร์สำหรับกู้คืนไฟล์ข้อมูลสามารถค้นหา Copy ดังกล่าวซึ่งเป็นไฟล์ต้นฉบับก่อนถูกเข้ารหัสได้ อย่างไรก็ตาม แฮ็คเกอร์เจ้าของ Bad Rabbit Ransomware ไม่ได้สร้าง Task ขึ้นมาสำหรับลบ Shadow Copy เหล่านี้ทิ้ง ส่งผลให้เหยื่อสามารถกู้คืนไฟล์บางส่วนหรือทั้งหมด (ถ้าโชคดีสุดๆ ) กลับคืนมาได้

อีกข้อบกพร่องที่ Kaspersky ค้นพบคือรหัสผ่านที่ใช้ถอดรหัสไฟล์ข้อมูล

Bad Rabbit Ransomware ทำงานโดยเข้ารหัสไฟล์ข้อมูลของเหยื่อ จากนั้นเข้ารหัส MFT (Master File Table) และแทนที่ MBR (Master Boot Record) ด้วยหน้าจอที่แฮ็คเกอร์ปรับแต่งขึ้นมาแดง ซึ่งหน้าจอดังกล่าวจะแสดง “personal installation key #1” สำหรับให้เหยื่อกรอกลงในไซต์ TOR หลังจากที่จ่ายค่าไถ่เพื่อรับรหัสผ่านสำหรับปลดล็อกไฟล์ข้อมูลบนเครื่อง ซึ่ง Kaspersky ประสบความสำเร็จในการใช้ข้อมูลเหล่านี้ถอดเอารหัสผ่านออกมา แล้วสามารถบูตเข้าสู่ระบบปฏิบัติการได้ อย่างไรก็ตาม วิธีที่ Kaspersky ทำสามารถบายพาส Bootloader ของแฮ็คเกอร์ได้เท่านั้น ไม่สามารถใช้ปลดล็อกไฟล์ข้อมูลที่ถูกเข้ารหัสในฮาร์ดดิสก์ได้แต่อย่างใด

อย่างไรก็ตาม Kaspersky พบว่าภายในโค้ดของ dispci.exe มีข้อบกพร่องอยู่ โดยมัลแวร์จะไม่ทำการลบรหัสผ่านที่ใช้ถอดรหัสไฟล์ข้อมูลออกจากหน่วยความจำ ส่งผลให้อาจจะพอมีโอกาส (เพียงเล็กน้อย) ในการถอดข้อมูลรหัสผ่านนั้นออกมาก่อนที่โปรเซส dispci.exe จะสิ้นสุดลง ปัญหาคือ ถ้าเหยื่อรีบูตคอมพิวเตอร์เมื่อไหร่ ก็หมดสิทธิ์ที่จะกู้คืนไฟล์กลับมาได้ทันที ยกเว้นจะยินยอมจ่ายค่าไถ่

รายละเอียดเชิงเทคนิคเกี่ยวกับข้อบกพร่องทั้ง 2 รายการสามารถดูได้ที่: https://securelist.com/bad-rabbit-ransomware/82851/

ที่มา: https://www.bleepingcomputer.com/news/security/some-bad-rabbit-victims-can-recover-files-without-paying-ransom/

from:https://www.techtalkthai.com/kaspesky-reveals-2-flaws-of-bad-rabbit-ransomware/

[Microsoft] พร้อมให้ Windows 10 เปิดใช้ฟีเจอร์ Anti-ransomware ได้แล้วหลังอัพเดต Fall Creator

ภายใน Windows 10 Fall Creator Update ที่เพิ่งถูกปล่อยออกมาเมื่อสัปดาห์ก่อนนี้ ได้มีการเปิดฟีเจอร์ป้องกัน Ransomware ให้เราได้ใช้งานกันแล้วฟรีๆ โดยฟีเจอร์นี้มีชื่ออย่างเป็นทางการว่า Controlled Folder Access เพื่อจำกัดสิทธิ์ในการเข้าถึงแต่ละ Folder สำหรับผู้ใช้งานแต่ละคนได้ ทำให้สามารถช่วยป้องกันไม่ให้ Ransomware ทำการเข้ารหัสไฟล์ใน Folder ที่ไม่มีสิทธิ์เข้าถึงได้

ผู้ที่อยากเปิดใช้ฟีเจอร์นี้ และใช้งาน Windows Defender อยู่แล้ว สามารถเข้าไปที่ Windows Defender Security Center > Virus & Threat Protection > Virus & Threat Protection Settings แล้วเลือกเปิด Controlled Folder Access ได้ทันที จากนั้นจึงเลือกว่าจะทำการปกป้อง Folder ใดบ้างภายใต้เมนู Protected Folders และเลือกว่า Application ใดจะอยู่ใน Whitelist ที่ถือว่าเป็นรายการของ Application ที่ปลอดภัยและผู้ใช้งานเชื่อถือได้ที่ Allow an App Through Controlled Folder Access

สำหรับวิธีการอื่นๆ ที่รองรับนั้นก็คือการใช้ PowerShell และการใช้ Group Policy ครับ ลองเข้าไปดูวิธีการได้ ที่นี่ ทันที อย่างไรก็ตามต้องทำความเข้าใจเสียก่อนว่าฟีเจอร์นี้ไม่ได้สามารถป้องกัน Ransomware ได้ทุกตระกูล แต่ก็ช่วยลดความเสี่ยงลงไปได้อยู่บ้าง ดังนั้นผู้ใช้งานเองก็ยังควรต้องใช้งานคอมพิวเตอร์ด้วยความระมัดระวัง ไม่เปิดไฟล์หรือเว็บไซต์ที่น่าสงสัยหรือันตราย รวมถึงหมั่นทำการสำรองข้อมูลสำคัญออกไปยังระบบสำรองข้อมูลที่จัดเก็บอยู่ภายนอกซึ่ง Ransomware โจมตีได้ยากด้วยครับ

ที่มา : bleepingcomputer tecktalkthai

from:https://notebookspec.com/microsoft-windows-10-anti-ransomware-fall-creator-anti/421593/