คลังเก็บป้ายกำกับ: RANSOMWARE

FedEx ประเมินความเสียหายกว่า 300 ล้านดอลลาร์ จากการโดน NotPetya เล่นงาน

FedEx ได้ออกมากล่าวว่า แม้จะสามารถกู้คืนระบบสำคัญให้กลับมาเป็นปกติได้แล้ว แต่ก็ทำให้เสียโอกาสจนสูญเสียรายได้ตามกว่าที่คาดการณ์ไว้ โดยคิดเป็นค่าใช้จ่ายด้านการปฏิบัติงานที่ต้องเพิ่มขึ้นกว่าเดิมถึง 300 ล้านดอลลาร์ฯ 

หลังจาก FedEx ซื้อกิจการบริการขนส่งชื่อดังสัญชาติฮอลแลนด์อย่าง TNT Express ไปเมื่อปีที่แล้วด้วยมูลค่าถึง 4.8 พันล้านดอลลาร์สหรัฐฯ ไม่นาน ระบบของ TNT ก็ตกเป็นหนึ่งในเหยื่อของแรนซั่มแวร์ชื่อดัง NotPetya เมื่อวันที่ 27 มิถุนายนที่ผ่านมา

ซึ่งทาง FedEx ได้ออกมากล่าวว่า แม้จะสามารถกู้คืนระบบสำคัญให้กลับมาเป็นปกติได้แล้ว แต่ก็ทำให้เสียโอกาสจนสูญเสียรายได้ตามกว่าที่คาดการณ์ไว้ โดยคิดเป็นค่าใช้จ่ายด้านการปฏิบัติงานที่ต้องเพิ่มขึ้นกว่าเดิมถึง 300 ล้านดอลลาร์ฯ รวมไปถึงต้องมีการลงทุนด้านการผสานระบบ TNT เข้ากับตัวเองเพิ่มจากที่วางแผนไว้อีก 75 ล้านดอลลาร์ฯ ด้วย

NotPetya นี้เป็นแรนซั่มแวร์ที่มีลักษณะคล้ายรุ่นพี่ที่ระบาดก่อนหน้าไปทั่วโลกอย่าง WannaCry โดยใช้ช่องโหว่บนวินโดวส์ที่ถูกปล่อยข้อมูลออกมาจากหน่วยงานความมั่นคงของสหรัฐฯ อย่าง NSA ซึ่ง NotPetya นี้เริ่มระบาดจากกลุ่มบริษัทที่อยู่ในประเทศยูเครนและรัสเซียเป็นหลัก โดยผลที่เกิดขึ้นรุนแรงถึงขั้นต้องหยุดการให้บริการของสนามบิน Boryspil ไปจนถึงการปิดระบบตรวจสอบรังสีอัตโนมัติในบริเวณซากโรงงานนิวเคลียร์เชอร์โนบิลเลยทีเดียว

อ่านข่าว : เยี่ยม !! ค้นพบแล้ว เทคนิคสร้างวัคซีนป้องกันการโจมตีของ Petya สายพันธุ์ใหม่

นอกจากนี้ยังกระทบไปถึงบริเวณอื่นทั่วโลกในเวลาต่อมา ทั้งโรงพยาบาลในสหรัฐฯ, บริษัทผลิตยาชื่อดัง Merck, หรือโรงงานผลิตขนมที่รู้จักกันดีอย่าง Nabisco และ Oreo ลามไปถึงระบบบางส่วนของโรงงานผลิตไฟฟ้านิวเคลียร์ในสหรัฐฯ ด้วย

ที่มา : https://www.engadget.com/2017/09/21/fedex-ransomware-notpetya

from:https://www.enterpriseitpro.net/archives/8001

Advertisements

จัดการ Ransomware ได้อย่างชะงักด้วย Cisco AMP

คอมพิวเตอร์ป่วนไปทั่วโลก หลังเจอมัลแวร์เรียกค่าไถ่ออกอาละวาด ซึ่งเป็นส่วนหนึ่งของข้อความที่พาดหัวข่าวในช่วงเวลาที่ผ่านมา ซึ่งหลายคนคงตั้งข้อสงสัยว่ามันคืออะไร แล้วทำไมถึงส่งผลกระทบในระดับประเทศ

วันนาคราย (WannaCry) เป็นมัลแวร์ประเภทแรนซัมแวร์ (Ransomware) ตัวนึง ที่พัฒนาตัวจากแรนซัมแวร์ฉบับดั้งเดิมที่ปกติ จะมีการแพร่ระบาดจากฟิชชิ่งเมล์ (Phishing mail) หรือ เว็บลิงค์ที่ไม่ดี (Malicious Web link) ซึ่งเมื่อมีผู้ตกเป็นเหยื่อหลงคลิกเอกสารแนบในอีเมล์ที่ส่งมา หรือคลิกไปตามเว็บลิงก์ที่ถูกใช้เป็นเครื่องมือในการปล่อยของ (Exploit Kit) เจ้าเครื่องมือนี้ก็จะทำการสำรวจจุดอ่อนทางความปลอดภัย (Vulnerabilities) แล้วทำการติดตั้งซอฟท์แวร์ประเภทโทรจัน (Trojan) ซึ่งจะทำตัวเหมือนเป็นประตูหลัง (Back door) เพื่อให้เครื่องทำการเชื่อมต่อกับเว็บที่ตั้งไว้เพื่อทำการเข้ารหัส (Encrypt) ข้อมูลที่กำหนดไว้ จากนั้นจึงทำการแสดงตัวที่หน้าจอเพื่อแจ้งวิธีในการจ่ายค่าไถ่ ซึ่งส่วนใหญ่จะให้จ่ายด้วยบิทคอย (Bit Coin) เพราะเป็นระบบที่ยากในการติดตามว่าผู้รับเป็นใคร

แต่สาเหตุที่ WannaCry สามารถแพร่กระจายไปได้อย่างรวดเร็ว เพราะ WannaCry ไม่จำเป็นต้องรอให้ผู้ใช้งานเปิดเอกสารแนบหรือคลิกไปที่เว็บลิงค์ที่ไม่ดี แต่ WannaCry จะอาศัยช่องโหว่ของระบบปฏิบัติการวินโดว์ที่มีการเปิด SMBv1 ซึ่งเป็นการอนุญาตให้ส่งไฟล์หากันแล้วให้ไฟล์ทำงาน (run) โดยอัตโนมัติที่เครื่องปลายทาง ดังนั้นเครื่องคอมพิวเตอร์ที่มีการเชื่อมต่อบนเครือข่ายและยังไม่ได้ทำการติดตั้ง Security Patch จึงสามารถตกเป็นเหยื่อของเจ้า WannaCry ได้ ซึ่งส่วนใหญ่จะเป็นเครื่องคอมพิวเตอร์ที่ใช้วินโดว์รุ่นเก่าๆ

การป้องกัน Ransomware ค่อนข้างทำได้ยากในปัจจุบัน เพราะ Ransomware สามารถสร้างรายได้เป็นมูลค่าหลายล้านเหรียญสหรัฐฯ (Cisco คาดการณ์ว่าจะสามารถทำรายได้ถึง 1 พันล้านเหรียญในปี 2560 นี้) การพัฒนา Ransomware จึงเป็นไปอย่างรวดเร็วและยังมีการให้บริการดาวน์โหลด Ransomware กับผู้ที่ต้องการ (Ransomware As A Service) ทำให้ผู้ใช้ไม่จำเป็นต้องเสียเวลาเขียนโปรแกรมเอง จึงสามารถคาดการณ์ได้ว่า จะเกิดการระบาดของ Ransomware ตัวใหม่ๆ อย่างต่อเนื่อง

ซึ่งเป็นการยากที่โปรแกรมประเภทแอนตี้ไวรัสจะสามารถป้องกันได้เพราะต้องอาศัยเวลาในการเรียนรู้และจดจำลักษณะ (Signature) ของ Ransomware สิ่งที่พอจะช่วยบรรเทาความเสียหายจากการโจมตีของ Ransomware ได้คือการทำการสำรองข้อมูล (Backup) เป็นประจำ และนอกจากนั้นการวางโครงสร้างสถาปัตยกรรมด้านความปลอดภัยทางระบบเครือข่ายก็เป็นสิ่งจำเป็นที่จะช่วยลดความเสี่ยงจากการถูกโจมตีของ Ransomware สมัยใหม่ตัวอื่นๆ ได้ ซึ่ง Cisco เองเป็นหนึ่งในผู้นำที่มีโซลูชั่นโครงสร้างสถาปัตยกรรมด้านความปลอดภัยฯ ดังกล่าวที่ผ่านการทดสอบด้วย Ransomware ต่างๆ มากกว่า 20 ชนิดว่าสามารถที่จะป้องกันการโจมตีจาก Ransomware ได้

ปัจจุบัน Cisco มีผลิตภัณฑ์ป้องกันมัลแวร์ขั้นสูงแบบบูรณาการ (Cisco AMP – Advanced Malware Protection) ที่หลากหลายที่สุดในวงการ เพื่อปราบปรามมัลแวร์ที่มุ่งเป้าไปยังเครือข่าย อุปกรณ์ปลายทาง เกตเวย์ที่ปลอดภัย อุปกรณ์มือถือ และสภาพแวดล้อมเสมือน โดย Cisco AMP ป้องกันการโจมตีแบบเต็มรูปแบบอย่างต่อเนื่องทั้งก่อน ระหว่าง และหลังโจมตี ด้วยความครอบคลุมที่มากกว่าการตรวจพบในเวลาจริง ผลิตภัณฑ์ AMP ของ Cisco ใช้ข้อมูลวิเคราะห์มหาศาล โมเดลการวัดและส่งข้อมูลทางไกล และระบบอัจฉริยะด้านความปลอดภัยรวมเพื่อทำการตรวจจับและกั้นมัลแวร์ การวิเคราะห์อย่างต่อเนื่อง และการเตือนจากข้อมูลย้อนหลัง

สนใจข้อมูลเพิ่มเติมสามารถสอบถามๆได้ที่ บริษัท Net bright จำกัด (Cisco Premier Partner) โทร. +66(0) 2643-8811 หรือ www.netbright.co.th

from:https://www.enterpriseitpro.net/archives/7979

[เตือนภัย] BlueBorne มัลแวร์ตัวใหม่ที่สามารถกระจายจากเครื่องสู่เครื่องผ่าน Bluetooth โดยไม่ต้องเชื่อมต่ออินเทอร์เน็ต

ตามแหล่งข่าวที่ได้ข้อมูลมาว่าในตอนนี้ อุปกรณ์ IT ทั้งหลายที่มีการเชื่อมต่อ Bluetooth กว่า 5.3 พันล้านเครื่องทั่วโลกสามารถตกเป็นเป้าโจมตีจากเหล่าแฮกเกอร์ผ่านทางมัลแวร์ตัวใหม่ BlueBorne ที่สามารถกระจายตัวไปยังอุปกรณ์อื่นๆผ่านทาง Bluetooth โดยที่เจ้าของเครื่องไม่รู้ตัวเลย เพราะไม่จำเป็นต้องได้รับการอนุญาตจากเจ้าของเครื่องก็สามารถแอบเข้ามาฝังตัวในเครื่องได้แบบเงียบๆ

และหลังจากที่มันเข้ามาฝังตัวในเครื่องเราแล้ว ก็อาจจะโดนแฮกเกอร์ที่ปล่อย BlueBorne ล็อคเครื่อง, เข้ารหัสไฟล์เพื่อเรียกค่าไถ่ในการปลดล็อคเหมือนกับ WannaCry ที่ระบาดเมื่อช่วงก่อนหน้านี้

วิธีการทำงานของ BlueBorne ก็อย่างที่บอกไปแล้วว่าแฮกเกอร์สามารถส่งเจ้า BlueBorne เข้ามาติดตั้งในเครื่องเราได้แบบเงียบๆ ผ่าน Bluetooth และยังสามารถกระจายตัวไปสู่อุปกรณ์อื่นๆได้อีกไม่ว่าจะเป็นมือถือ Android, iOS, PC หรือแม้แต่อุปกรณ์อื่นๆที่มี Bluetooth เช่น Smart Watch, Smart TV ฯลฯ ซึ่งการกระจายตัวแบบอุปกรณ์สู่อุปกรณ์นี้ จะกระจายตัวได้เร็วมากกว่ามัลแวร์ WannaCry เพราะไม่จำเป็นต้องต่ออินเทอร์เน็ต ไม่ต้องส่งไฟล์เข้า e-Mail เพื่อให้เหยื่อกดเปิดไฟล์

ยังดีที่ตอนนี้ระบบต่างๆ ทั้ง Windows, iOS 10+ ได้ปล่อยอัพเดทออกมาป้องกันเรียบร้อยแล้ว รวมถึง Android ด้วย (September 2017 Security Patch) แต่สำหรับมือถือ Android แบรนด์อื่นๆ หรือรุ่นเก่าๆ ที่ไม่ได้รับการอัพเดทความปลอดภัยแล้ว จะเสี่ยงต่อการถูกโจมตีจาก BlueBorne ได้อยู่ และหากมือถือเครื่องไหนที่โดนมัลแวร์ตัวนี้ยึดเครื่องไปแล้ว มือถือเครื่องนั้นก็แทบจะกลายเป็น Virus Hotspot พร้อมจะส่งไวรัสให้อุปกรณ์ IT รอบตัวได้ตลอดเวลา

ตอนนี้ยังไม่มีข้อมูลที่แน่ชัดว่า BlueBorne ไประบาดถึงไหนบ้างแล้ว แต่เพื่อความปลอดภัย ถ้าเราไม่ได้ใช้งาน Bluetooth ก็ปิดเอาไว้จะดีกว่า เพราะเราก็ไม่รู้ว่าเจ้า BlueBorne จะข้ามน้ำข้ามทะเลมาถึงบ้านเราเมื่อไหร่ หรือเข้าไปดาวน์โหลดแอป BlueBorne Vulnerability Scanner by Armis  มาติดตั้งเพื่อเช็คว่ามือถือเราหรืออุปกรณ์อื่นๆ ที่อยู่ในระยะ Bluetooth มีความเสี่ยงต่อการโดนโจมตีรึเปล่า

 

ที่มา : Androidauthority

from:https://droidsans.com/new-bluetooth-exploit-blueborne/

จาก WannaCry และ Petya คุณจะเจออะไรกันอีก !!?

ขณะที่ทั่วโลกยังคงสั่นสะเทือนจากการโจมตีของ WannaCry นั้น หลายบริษัทในยุโรปและอเมริกาก็ตกเป็นเหยื่อมัลแวร์ครั้งใหญ่อีกครั้งจาก Petya จนได้

นักวิจัยจาก Sophos ได้พบจุดที่เหมือนกันของลักษณะการแพร่กระจายแรนซั่มแวร์ทั้งสองตัวนี้ รวมถึงข้อแตกต่างที่มีการพัฒนาขึ้นอย่างชัดเจน แม้ว่าสำหรับ Petya นั้น ไม่พบกลไกการกระจายตัวเองผ่านอินเทอร์เน็ตแบบที่ WannaCry ใช้อยู่ แต่ก็พบว่า Petya ได้ใช้ช่องโหว่ Eternal Blue หรือ Eternal Romance ในการแพร่ตัวเองบนโลกออนไลน์เหมือน WannaCry เช่นกัน โดยช่องโหว่ดังกล่าวจะใช้ประโยชน์จากบั๊กของบริการ Server Message /block (SMB) ที่คอมพิวเตอร์ที่ใช้วินโดวส์ ใช้ในการแบ่งปันไฟล์และเครื่องพิมพ์ภายในแลนของตัวเอง

แต่ความล้ำอีกขั้นของ Petya คือ ถ้าการใช้ช่องโหว่บน SMB ไม่สำเร็จแล้ว ก็จะหันไปแพร่เชื้อผ่านทูลชื่อว่า PsExec ที่อนุญาตให้ผู้ใช้รันโปรเซสบนระบบที่ต้องการจากระยะไกลได้ นั่นหมายความว่า ถึงเครื่องของเหยื่อจะได้รับการแพ็ตช์อุดช่องโหว่บน SMB แล้วก็ไม่หวั่น ถือว่ายังมีโอกาสโดนกระจายเชื้อไปยังเครื่องอื่นบนเครือข่ายได้อย่างง่ายดายอยู่ดี

กว่า 5 ปีที่ผ่านมานั้น วงการไอทีได้เห็นมัลแวร์หลากหลายสายพันธุ์ที่นิยมใช้การหลอกลวงทางอีเมล์ในการแพร่เชื้อ ด้วยเทคนิคเดิมๆ ในการเขียนอีเมล์ให้ดูน่าเชื่อถือ ใส่โลโก้ทางการ ใช้ภาษาเนียนๆ เข้ากับลักษณะของเป้าหมาย เติมความหวาดกลัวด้วยการขู่เล็กน้อยถึงปานกลาง จากเจ้านายบ้าง หน่วยงานรัฐบ้าง เพื่อล่อให้คลิกลิงค์หรือเปิดไฟล์แนบ แน่นอนว่าวิธีนี้ต้องอาศัยอาการสติหลุดของผู้ใช้ร่วมด้วย ดังนั้น มัลแวร์ยุคใหม่นี้จึงเลิกพึ่งพาคนอื่น ด้วยการใช้เทคนิคหรือทูลในการกระจายมัลแวร์แบบเวิร์ม โดยไม่ต้องจุดธูปภาวนาให้เหยื่อคลิกอีกต่อไป

และด้วยช่องโหว่ที่ถูกทะลวงจนพรุนมากมายในปัจจุบัน ทำให้อาชญากรทางไซเบอร์ยังคงมุ่งทำมาหากินกับเหยื่อที่ใช้วินโดวส์เป็นหลัก ขณะที่ยังทำงานอดิเรกหนีเรดโอเชียนด้วยการพัฒนาฝีมือโจมตีแพลตฟอร์มอื่น เช่น เซิร์ฟเวอร์ลีนุกส์ และเครื่องแมคไปพร้อมกัน

อีกหนึ่งกระแสอันตรายที่ต้องเฝ้าระวังคือ แรนซั่มแวร์บนโลกโมบายล์ ซึ่งปีที่แล้วทาง SophosLabs ได้วิเคราะห์จนเจอแอพพลิเคชั่นบนแอนดรอยด์ที่น่าสงสัยกว่า 8.5 ล้านรายการ โดยมากกว่าครึ่งกลายเป็นมัลแวร์หรือแอพพลิเคชั่นที่มีพฤติกรรมไม่พึงประสงค์ โดยเฉพาะพวกแอดแวร์ที่สร้างความรำคาญ

ถือได้ว่า แรนซั่มแวร์ยุคใหม่มีการพัฒนาฟีเจอร์การทำร้ายชาวบ้านได้หลากหลายและลึกล้ำ ในอัตราที่รวดเร็วมากขึ้นเรื่อย ธุรกิจต่างๆ จึงตกอยู่ในความเสี่ยงสูงมาก ถ้าไม่ได้จัดการป้องกันอย่างถูกต้องตามขั้นตอนที่เหมาะสม

ดังนั้น Sophos จึงแนะนำขั้นตอนอย่างง่ายในการป้องกันตัวเอง ดังนี้:
• ตรวจสอบให้มั่นใจว่า ทุกระบบที่ใช้งานอยู่ ได้รับการแพ็ตช์รุ่นล่าสุด โดยเฉพาะรายการที่ชื่อ MS17-010 จากไมโครซอฟท์แล้ว
• อนุญาตเฉพาะแอพพลิเคชั่นที่จำเป็นต้องใช้ทำงานประจำวันเท่านั้นที่รันบนคอมพิวเตอร์ได้ เพื่อลดความเสี่ยงในการโดนโจมตี และจำกัดจำนวนแพ็ตช์ที่คุณจำเป็นต้องติดตั้งเป็นประจำเพื่ออุดช่องโหว่บนเครื่องทุกเครื่อง
• สำรองข้อมูลเป็นประจำ และเก็บข้อมูลที่แบ๊กอัพไว้ภายนอกองค์กรด้วย โดยเข้ารหัสข้อมูลที่เก็บสำรองไว้เพื่อให้คุณคลายความกังวลไม่ว่าจะเก็บข้อมูลนี้ไว้ที่ไหนก็ตาม
• หลีกเลี่ยงการเปิดไฟล์แนบ หรือคลิกลิงค์ที่มากับอีเมล์ โดยเฉพาะเมล์ที่คุณไม่ทราบที่มา หรือไม่คิดว่าจะมีเมล์ลักษณะนี้มาจากผู้ส่ง (ที่อาจติดเชื้อไปแล้ว) รายนั้นๆ
• มีทูลฟรีให้โหลดมาใช้ยกระดับความปลอดภัยมากมาย อย่าง Sophos ก็มี Intercept X แบบทดลองใช้ หรือสำหรับผู้ใช้ตามครัวเรือน ก็มีโซลูชั่นความปลอดภัยฟรีอย่าง Sophos Home Premium Beta ที่สามารถป้องกันแรนซั่มแวร์ ด้วยการปิดกั้นการเข้ารหัสที่ไม่ได้รับอนุญาติกับไฟล์หรือบริเวณใดๆ บนฮาร์ดดิสก์

โดย : จัสติน ปีเตอร์ ผู้อำนวยการด้านโซลูชั่นทางเทคนิคของ Sophos ประจำภูมิภาคเอเชียแปซิฟิก และญี่ปุ่น

from:https://www.enterpriseitpro.net/archives/7893

[PR] แคสเปอร์สกี้ แลป เผยไตรมาส 2 ปี 2017 พบสแปมเมอร์อาศัยเกาะกระแส WannaCry หาเงิน หลอกขายเซอร์วิสป้องกันภัยแรนซัมแวร์

ไตรมาสที่ 2 ปี 2017 อาชญากรที่เกี่ยวโยงกับการแพร่กระจายสแปมได้มีความพยายามที่จะแพร่กระแสความหวาดกลัว โดยเกาะวิกฤตแรนซัมแวร์ WannaCry ระบาดเมื่อเดือนพฤษภาคมที่ผ่านมา รู้อยู่แก่ใจดีว่ามีช่องโหว่ที่เหยื่อพยายามจะพยายามทุกวิถีทางที่จะแกะรหัส เพื่อกู้ข้อมูลกลับคืนมาให้ได้ จึงเป็นช่องให้คนโกงเหล่านี้สบโอกาสส่งอีเมลสแปมหรือฟิชชิ่งออกมานำเสนอบริการอ้างว่าสามารถที่จะป้องกันรับมือการระบาดของแรนซัมแวร์ได้ ตัวอย่างนี้เป็นหนึ่งในข้อมูลในรายงานการสำรวจ “สแปมและฟิชชิ่ง ไตรมาส 2 ปี 2017”

การโจมตีแรนซัมแวร์ WannaCry ทำให้เครื่องคอมพิวเตอร์ติดเชื้อมากกว่า 200,000 เครื่องทั่วโลกยังผลให้เกิดความตื่นตระหนกโกลาหลไปทั่ว และสแปมเมอร์ก็ได้โอกาสครั้งใหญ่ นักวิจัยตรวจพบเมสเสจข้อความจำนวนมากที่นำเสนอบริการ อาทิ ป้องกันให้พ้นภัย WannaCry การกู้คืนข้อมูล และยิ่งน่าสะพรึงไปกว่านั้น เวิร์กช็อปให้การอบรม คอร์สการฝึกอบรมแก่ผู้ใช้งานคอมพิวเตอร์ นอกจากนั้น สแปมเมอร์ยังได้ติดตั้งดำเนินแผนการฉ้อโกงเป็นผลสำเร็จที่จะคอยทำหน้าที่เสนอบริการติดตั้งซอฟต์แวร์อัพเดทให้บนเครื่องที่เป็นเหยื่อมาแล้วอีกด้วย อย่างไรก็ตาม ลิ้งก์เหล่านี้ หากคลิ้กไปก็จะนำไปยังฟิฟิชชิ่งเพจ ที่ซึ่งคอยโจรกรรมข้อมูลส่วนตัวของเหยื่อที่หลงเข้ามา

หนึ่งในแนวทางหลักในช่วงสามเดือนที่ผ่านมาคือจำนวนอีเมลมากมายมหาศาลไปมีเป้าหมายไปยังระบบเครือข่ายคอร์ปอเรทต่างๆ จากการวิจัยข้อมูลโดยแคสเปอร์สกี้ แลป พบว่า กิจกรรมเช่นนี้ได้ขยายวงกว้างขึ้นตั้งแต่ต้นปี โดยพบว่าสแปมเมอร์เริ่มที่จะหลบเลี่ยงอีเมลให้ดูคล้ายบทสนทนาของกิจกรรมการดำเนินงานของคอร์ปอเรท ด้วยการใช้ไอเด็นติตี้ของคอร์ปอเรทนั้น ใช้ลายเซ็นจริง โลโก้จริง และแม้กระทั่งข้อมูลธนาคารก็ตาม ก็ดูเหมือนจริง ส่วนเอกสารที่ส่งแนบมากับอีเมลนั้น อาชญากรไซเบอร์ก็จะส่ง exploit packages เพื่อโจรกรรม FTP อีเมล และพาสเวิร์ดรหัสผ่านอื่นๆ ผู้เชี่ยวชาญของแคสเปอร์สกี้ แลปเน้นว่า การโจมตีคอร์ปอเรทส่วนมากนั้นจะมีเป้าหมายอยู่ที่การเงิน

นอกไปจากนี้ ในไตรมาสที่สองของปีนี้ นักวิจัยได้ตรวจพบว่ามีอัตราการเติบโตของการส่งอีเมลที่มีโทรจันแนบด้วย ใช้วิธีการส่งในนามผู้ให้บริการขนส่งต่างประเทศ สแปมเมอร์ส่งรายงานความคืบหน้าในการส่งสินค้า ด้วยข้อมูลพัสดุที่ไม่มีอยู่จริง เพราะประสงค์ที่จะโจรกรรมข้อมูลส่วนบุคคล หรือแพร่เชื้อไปตามเครื่องคอมพิวเตอร์ อาชญากรไซเบอร์จึงใช้วิธีการแพร่การะจายดาวน์โหลดลิ้งก์ที่มีมัลแวร์ แบ้งกิ้งโทรจัน Emotet ซึ่งพบเป็นครั้งแรกเมื่อปี พ.ศ. 2557 ในภาพรวมแล้ว พบว่าจำนวนของอีเมลที่มีเชื้อมัลแวร์แฝงอยู่นั้นเพิ่มขึ้นถึง 17% จากรายงานการวิจัยล่าสุดโดยแคสเปอร์สกี้ แลป

ดารยา กู้ดโคว่า ผู้เชี่ยวชาญการวิเคราะห์สแปม แคสเปอร์สกี้ แลป กล่าวว่า “ช่วงไตรมาสที่สองของปีนี้ เราพบแนวโน้มการเติบโตอย่างต่อเนื่องของสแปมและฟิชชิ่ง อาศัยกระแสความตื่นกลัว WannaCry ในการส่งอีเมลหว่านออกไปหาเหยื่อ แสดงว่าอาชญากรไซเบอร์นั้นให้ความสนใจในเรื่องกระแสต่างๆ เป็นพิเศษ และเกาะกระแสที่ได้รับความสนใจในระดับโลก ยิ่งไปกว่านั้น อาชญากรไซเบอร์ได้เริ่มที่จะหันมาให้ความสนใจในภาคส่วนธุรกิจต่อธุรกิจ หรือ B2B เพราะเห็นปริมาณเงินชัดเจน เราคาดว่าแนวโน้มนี้จะดำเนินต่อไปอีก และจำนวนและรูปแบบการจู่โจมคอร์ปอเรทมีแต่จะขยายตัวขึ้น”

แนวโน้มทิศทางและสถิติในไตรมาส 2 ที่น่าสนใจ ที่ทางนักวิเคราะห์ของแคสเปอร์สกี้ แลป ให้ความสนใจเป็นพิเศษ ได้แก่:

  • จำนวนเฉลี่ยของสแปมเพิ่มจำนวนขึ้น 56.97% เวียดนามเป็นแหล่งสุดฮอตของสแปม แซงอเมริกาและจีนไปแล้ว ประเทศ 10 อันดับแรก ได้แก่ รัสเซีย บราซิล ฝรั่งเศส อิหร่าน และเนเธอร์แลนด์
  • Necurs botnet ยังคงไม่ตายและยังอยู่ดี อย่างไรก็ตาม ผู้เชี่ยวชาญสังเกตว่าจำนวนสแปมที่ส่งออกมาจากบอตเน็ตนี้ลดน้อยลง และเริ่มไม่เสถียร
  • ประเทศที่ตกเป็นเป้าหมายการจู่โจมของเมล์หว่าน (mailshots) คือ เยอรมันนี ส่วนประเทศที่เคยติดอันดับ ได้แก่ จีน นั้นไตรมาสนี้มาเป็นที่สอง ตามด้วยสหราชอาณาจักร ญี่ปุ่น และรัสเซีย เป้าหมายอื่นที่เป็นที่นิยมเช่นกัน ได้แก่ บราซิล อิตาลี เวียดนาม ฝรั่งเศส และสหรัฐอเมริกา
  • ระบบต่อต้านฟิชชิ่งของแคสเปอร์สกี้ แลปได้รับการกระตุ้นให้ทำงาน 46,557,343 ครั้งบนคอมพิวเตอร์ของผู้ใช้แคสเปอร์สกี้ แลป บราซิลมีอัตราส่วนของเหยื่อสูงที่สุดที่ (18.09%) โดยรวมแล้ว มีผู้ที่ใช้ผลิตภัณฑ์ของแคสเปอร์สกี้ แลป ทั่วโลกถูกจู่โจมด้วยฟิชชิ่ง 8.26%
  • ในไตรมาสที่ 1 เป้าหมายหลักของการจู่โจมด้วยฟิชชิ่งนั้นยังคงเป็นเช่นเดิม และเป็นกลุ่มการเงิน อาทิ ธนาคาร บริการชำระเงิน และร้านค้าออนไลน์

อ่านรายงานการวิจัยสแปมและฟิชชิ่งไตรมาส 2 2560 ได้ที่ Securelist.com

ซิลเวีย อึง ผู้จัดการทั่วไป แคสเปอร์สกี้ แลป ภูมิภาคเอเชียตะวันออกเฉียงใต้ กล่าวว่า “ทุกวันนี้ ประสิทธิภาพในการป้องกันนั้นขึ้นอยู่กับความยืดหยุ่นและความเสถียรของระบบที่มีศักยภาพในการเรียนรู้ด้วยตนเองได้ (self-learning systems) ที่รังสรรค์โดยผู้เชี่ยวชาญ และความสำเร็จในการป้องกันตนเองก็จะเป็นของผู้ที่สามารถที่จะทำการผสมผสาน (i) ความสามารถในการคำนวณ และ (ii) โครงสร้างที่มีความซับซ้อนที่รองรับการพัฒนาอัลกอริธึ่มใหม่ๆ ได้ และเราเรียกส่วนผสมของสิ่งเหล่านี้ว่า อัจฉริยภาพของฮิวแมนชีน-มนุษย์และมาชีน (Humachine Intelligence) – ส่วนผสมที่ลงตัวของสิ่งพื้นฐาน 3 ส่วน ได้แก่ บิ๊กดาต้า การเรียนรู้ของแมชชีน และความเชี่ยวชาญในการคิดวิเคราะห์ของมนุษย์”

แคสเปอร์สกี้ แลปแนะนำให้ผู้ใช้คอมพิวเตอร์ตามบ้านติดตั้งโซลูชั่นเพื่อความปลอดภัยที่เชื่อถือได้ เพื่อตรวจจับและบล็อกสแปมและฟิชชิ่ง เช่น โซลูชั่น Kaspersky Total Security

ธุรกิจต่างๆ ก็เช่นกันที่ควรที่จะติดตั้งโซลูชั่นเพื่อความปลอดภัย ที่มีฟังก์ชั่นเฉพาะตัวสำหรับจัดการกับไฟล์แนบที่มีเชื้อร้ายแฝงมาด้วยโดยเฉพาะ ธุรกิจขนาดย่อมก็สามารถที่จะป้องกันธุรกิจของตัวเองได้เช่นเดียวกับธุรกิจขนาดใหญ่ด้วยโซลูชั่น Kaspersky Small Office Security, Kaspersky Endpoint Security Cloud ซึ่งคอยตรวจจับ บล็อกอีเมลที่แฝงสแปมมาด้วย

บริษัทที่มีขนาดใหญ่ขึ้นมาสามารถที่จะใช้ประโยชน์จากการสแกนข้อความทั้งหมดเพื่อต่อต้านสแปมแฝงด้วยฟีเจอร์แบบเรียลไทม์บนคลาวด์บน Microsoft® Exchange และอีเมลเซิร์ฟเวอร์แบบลีนุกซ์ ด้วยแอพพลิเคชั่น Kaspersky Security for Mail Server ที่มาพร้อมกับ Kaspersky Total Security for Business

###

เกี่ยวกับแคสเปอร์สกี้ แลป

แคสเปอร์สกี้ แลป เป็นบริษัทระดับโลกที่เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ หรือไซเบอร์ซีเคียวริตี้ ซึ่งได้เฉลิมฉลองการก่อตั้งครบ 20 ปี ในปี พ.ศ. 2560 นี้ ความชำนาญพิเศษด้านภัยคุกคามที่ใช้เทคนิคเชิงลึก (deep threat intelligence) และระบบการป้องกันรักษาความปลอดภัยของแคสเปอร์สกี้ แลปได้ถ่ายทอดออกมาเป็นโซลูชั่นและบริการเพื่อการรักษาความปลอดภัยที่คอยให้การปกป้ององค์กรธุรกิจ โครงสร้างที่มีความสำคัญ องค์กรภาครัฐและผู้บริโภคมากมายทั่วโลก ทั้งนี้พอร์ตโฟลิโอผลิตภัณฑ์เพื่อรักษาความปลอดภัยที่ครบถ้วนของบริษัทประกอบด้วยโซลูชั่นและบริการเพื่อการป้องกันเอนด์พอยนท์ รวมทั้งโซลูชั่นเฉพาะทางมากมายเพื่อรับมือภัยคุกคามทางดิจิตอลที่วิวัฒนาการขยายขีดความซับซ้อนยิ่งขึ้นทุกวัน ปัจจุบันเทคโนโลยีของแคสเปอร์สกี้ แลป สามารถปกป้องยูสเซอร์มากกว่า 400 ล้านคนทั่วโลก และเราได้ให้การช่วยเหลือลูกค้าองค์กรในการป้องกันสินทรัพย์ที่มีค่ายิ่ง อีกมากกว่า 270,000 แห่งทั่วโลก ท่านสามารถศึกษาข้อมูลเพิ่มเติมได้ที่ www.kaspersky.com

from:https://www.techtalkthai.com/2017-second-quater-found-numbers-of-spam/

พบการโจมตี MongoDB เรียกค่าไถ่ระลอกใหม่ ผู้ใช้กว่า 26,000 รายตกเป็นเหยื่อ

Dylan Katz และ Victor Gevers สองนักวิจัยด้านความมั่นคงปลอดภัยออกมาแจ้งเตือนถึงการโจมตี MongoDB เพื่อเรียกค่าไถ่หรือที่รู้จักกันในนาม MongoDB Apocalypse ระลอกใหม่ ที่เกิดขึ้นเมื่อสุดสัปดาห์ที่ผ่านมา ซึ่งขณะนี้มีผู้ตกเป็นเหยื่อแล้วมากกว่า 26,000 ราย

MongoDB Apocalypse ถูกตรวจพบครั้งแรกเมื่อช่วงปลายเดือนธันวาคม 2016 จนถึงเดือนมกราคม 2017 ที่ผ่านมา โดยกลุ่มแฮ็คเกอร์ได้สแกนระบบอินเทอร์เน็ตเพื่อค้นหาฐานข้อมูล MongoDB ที่เปิดการเชื่อมต่อจากภายนอก จากนั้นเจาะผ่านช่องโหว่เพื่อลบข้อมูลภายใน และแนบข้อความเรียกค่าไถ่แลกกับการได้ข้อมูลกลับคืนมา ซึ่งจากการตรวจสอบพบพบว่าฐานข้อมูลส่วนใหญ่ที่ถูกแฮ็คเป็นฐานข้อมูลที่ใช้ทดสอบ แต่บางระบบมีข้อมูลการใช้งานจริงอยู่ ส่งผลให้บางบริษัทยอมจ่ายค่าไถ่ อย่างไรก็ตาม ค้นพบภายหลังว่าการเรียกค่าไถ่แลกกับข้อมูลเป็นเรื่องหลอกลวง เนื่องจากข้อมูลทั้งหมดถูกลบไปเรียบร้อยแล้ว

จากเหตุการณ์ครั้งนั้นค้นพบว่ากลุ่มแฮ็คเกอร์สามารถโจมตีฐานข้อมูล MongoDB ไปเป็นจำนวนมากถึง 45,000 เครื่อง จากนั้นการโจมตีก็เริ่มลดลงจนแทบจะหายไป อย่างไรก็ตาม เมื่อสุดสัปดาห์ที่ผ่านมาพบว่ามีกลุ่มแฮ็คเกอร์อย่างน้อย 3 กลุ่มได้เริ่มโจมตี MongoDB เพื่อเรียกค่าไถ่ระลอกใหม่ โดยมีผู้ตกเป็นเหยื่อแล้วกว่า 26,000 ราย ซึ่งหนึ่งในสามกลุ่มนั้นสามารถโจมตีเป้าหมายได้มากถึง 22,000 เครื่อง

ถึงแม้ว่าจำนวนการโจมตีจะน้อยกว่าครั้งก่อน แต่ผ่านไปเพียงแค่ไม่กี่วัน กลุ่ม Cru3lty สามารถโจมตีเหยื่อได้มากถึงครึ่งหนึ่งของที่เกิดขึ้นเมื่อคราวก่อนที่ใช้เวลาถึงเกือบ 1 เดือน จึงเป็นไปได้สูงมากที่การโจมตีจะถูกแพร่กระจายไปยังเป้าหมายอื่นๆ มากกว่านี้

นอกจากนี้ Gevers ยังค้นพบอีกว่า หลังจากที่กลุ่มแฮ็คเกอร์เข้าควบคุมฐานข้อมูลของเหยื่อได้แล้ว เหยื่อพยายาม Restore ฐานข้อมูลกลับขึ้นมาใหม่จาก Backup ที่มีอยู่ ซึ่งน่าจะจบไป แต่เขากลับพบว่าฐานข้อมูลนั้นถูกโจมตีอีกครั้งในวันเดียวกัน เนื่องจากเหยื่อขาดทักษะหรือไม่สามารถหามาตรการควบคุมมาป้องกันการโจมตีของแฮ็คเกอร์ได้ทันท่วงที

ที่มา: https://www.bleepingcomputer.com/news/security/massive-wave-of-mongodb-ransom-attacks-makes-26-000-new-victims/

from:https://www.techtalkthai.com/new-wave-of-mongodb-attacks-make-26000-victims/

โอ้ว ! Locky ยังไม่ตาย แฝงตัวมากับเมล์กว่า 23 ล้านฉบับ !

ขณะที่คนทั่วไปนึกว่าแรนซั่มแวร์ Locky กำลังเงียบตายไป นักวิจัยจากสองบริษัทด้านความปลอดภัยกลับพบแคมเปญการจัดส่งอีเมล์ครั้งใหญ่ถึงสองครั้ง ที่มีการแพร่กระจายแรนซัมแวร์ดังกล่าวด้วย แม้คนละสายพันธุ์กันก็ตาม

เริ่มจากแคมเปญแรกที่พบโดยนักวิจัยจาก AppRiver ซึ่งมีการส่งเมล์ออกมาถึง 23 ล้านฉบับภายใน 24 ชั่วโมงเมื่อวันที่ 28 สิงหาคมที่ผ่านมา ทั่วทั้งสหรัฐฯ ซึ่งถือเป็นแคมเปญการแพร่เชื้อมัลแวร์ที่ใหญ่มากที่สุดในช่วงครึ่งหลังของปีนี้ทีเดียว โดยอีเมล์จะมีชื่อเมล์ที่หลอกให้ผู้ใช้ต้องคลิกแบบงงๆ เช่น “กรุณาสั่งพิมพ์”, “เอกสาร”, “รูป”, “ภาพ”, “สแกน” เป็นต้น

อีเมล์จะมาพร้อมกับไฟล์ ZIP ที่มีสคริปต์ VBS ที่เมื่อเหยื่อคลิกเปิดแล้ว ก็จะดาวน์โหลดแรนซั่มแวร์ Locky ตัวล่าสุดที่ชื่อ Lukitus (เป็นภาษาฟินแลนด์แปลว่า ล็อก) แล้วเข้ารหัสไฟล์ทุกตัวบนเครื่อง พร้อมใส่สกุลไฟล์ไว้ว่า [.]lukitus หลังจากนั้นจึงแสดงข้อความบอกให้เหยื่อดาวน์โหลดและติดตั้งบราวเซอร์ชื่อ Tor เพื่อเข้าเว็บไซต์ของผู้โจมตีสำหรับจ่ายเงินต่อไป

ส่วนอีกแคมเปญที่พบโดยบริษัท Comodo Labs เป็นการส่งอีเมล์ในช่วงต้นเดือนสิงหาคมกว่า 62,000 ฉบับ ที่มีแรนซั่มแวร์ Locky สายพันธุ์ใหม่ฝังไปด้วย ชื่อว่า IKARUSdilapidated โดยใช้ที่อยู่ไอพีที่ต่างกันถึง 11,625 ตัวในกว่า 133 ประเทศ ลักษณะคล้ายโดนโจมตีผ่านเครื่องซอมบี้หรือบอทเน็ตให้ช่วยกระจายเมล์

ที่มา : http://thehackernews.com/2017/08/locky-ransomware-emails.html

from:https://www.enterpriseitpro.net/archives/7823