blog

  • 29
    06

    เอาอีกแล้ว! พบ Petrwrap มัลแวร์เรียกค่าไถ่ตัวใหม่ระบาดหนักในยูเครนและกำลังแพร่ไปทั่วโลก

    กระแส WannaCry เพิ่งจะซาลงไปไม่นาน ล่าสุดมีรายงานว่าพบ ransomware ตัวใหม่กำลังระบาดหนักในประเทศยูเครน ส่งผลกระทบต่อหน่วยงานรัฐ, ธนาคาร, สนามบิน และบริษัทพลังงานเป็นวงกว้าง

    ไวรัสเรียกค่าไถ่ หรือ ransomware ตัวใหม่นี้มีชื่อว่า Petya หรือ Petrwrap ได้เริ่มแพร่กระจายในประเทศยูเครนเป็นวงกว้างเมื่อไม่กี่ชั่วโมงที่ผ่านมา ขณะนี้มีรายงานว่าหน่วยงานรัฐก็โดนโจมตีหลายหน่วยงาน รวมถึงธนาคารกลาง, บริษัทสื่อสาร, เครือข่ายรถไฟฟ้าใต้ดิน, สนามบิน Boryspil ในเมือง Kiev หรือแม้กระทั่งคอมพิวเตอร์ที่โรงไฟฟ้านิวเคลียร์ Chernobyl ก็ติดไวรัสนี้ และต้องเปลี่ยนมามอนิเตอร์ระดับรังสีแบบแมนนวลแทน

    นอกจากนี้บริษัทขนส่งทางเรือ Maersk ของประเทศเดนมาร์กก็ยืนยันว่าระบบไอทีของบริษัทถูกโจมตีและต้องปิดระบบลง แต่ไม่ได้ระบุว่าเป็น ransomware ตัวใหม่นี้หรือไม่ ในขณะที่บริษัทน้ำมันของรัสเซีย Rosneft ก็ได้รับผลกระทบเช่นเดียวกัน

    เมื่อคอมพิวเตอร์ของเหยื่อโดนไวรัสนี้ เครื่องจะแสดงข้อความเต็มจอว่าไฟล์ในเครื่องถูกเข้ารหัสแล้ว และให้จ่ายเงินเป็นสกุลบิตคอยน์มูลค่า 300 ดอลลาร์สหรัฐเพื่อรับกุญแจมาปลดล็อกไฟล์ ทั้งนี้ยังไม่มีรายงานว่าจ่ายแล้วปลดได้จริงหรือไม่ (ห้ามจ่ายเด็ดขาด หากโดนแล้วให้ทำใจและฟอร์แมตเครื่องทิ้งเลย การจ่ายเงินก็เหมือนเป็นการสนับสนุนการกระทำเหล่านี้ เราควรฝึกสำรองข้อมูลให้เป็นนิสัยครับ)

    ส่วนรายละเอียดทางเทคนิคนั้นยังไม่เป็นที่แน่ชัดว่าไวรัสตัวใหม่นี้แพร่กระจายอย่างไร แต่บริษัทผลิตซอฟต์แวร์แอนตี้ไวรัส Avira ได้ทวีตระบุว่าไวรัสเรียกค่าไถ่ตัวนี้ใช้ช่องโหว่ EternalBlue ที่หลุดออกมาจาก NSA แบบเดียวกับ WannaCry

    ที่มา - https://www.blognone.com/node/93525

  • 20
    06

    ธุรกิจ Web Hosting จากเกาหลีใต้โดน Ransomware โจมตี เรียกค่าไถ่ 35 ล้านบาท

    ธุรกิจ Web Hosting สัญชาติเกาหลีใต้ถูก Ransomware โจมตี Linux Server ทั้งสิ้นกว่า 153 เครื่อง เข้ารหัสเว็บไซต์ไปกว่า 3,400 แห่ง พร้อมถูกเรียกค่าไถ่เป็น Bitcoin มูลค่า 1 ล้านเหรียญ หรือราวๆ 35 ล้านบาท

    บริษัทที่ถูกโจมตีรายนี้คือ NAYANA ที่ถูกโจมตีมาเมื่อวันที่ 10 มิถุนายน 2017 ที่ผ่านมา และถูกผู้โจมตีเรียกค่าไถ่ครั้งแรกสูงถึง 550 Bitcoin หรือเป็นมูลค่ากว่า 1.6 ล้านเหรียญ หรือราวๆ 56 ล้านบาท ก่อนจะมีการต่อรองค่าไถ่ลงเหลือ 1.01 ล้านเหรียญหรือราวๆ 35.35 ล้านบาท โดยตอนนี้ทาง NAYANA ก็ได้จ่ายค่าไถ่ไปแล้ว 2 ใน 3 ส่วน และกู้ข้อมูล Server เหล่านั้นกลับมาได้

    Trend Micro ได้ออกมาระบุว่าการโจมตีครั้งนี้เกิดขึ้นโดย Ransomware Erebus ที่ปรากฏตัวมาตั้งแต่กันยายนปี 2016 ที่ผ่านมา และถูกอัปเกรดความสามารถในการ Bypass Windows User Account Control ในขณะที่ Linux ที่ NAYANA ใช้งานนั้นก็ยังคงเป็น Linux Kernel 2.6.24.2 ซึ่งอาจยังมีช่องโหว่ที่เป็น Known Vulnerability อยู่แล้ว จึงอาจถูกโจมตีเข้ามาทางช่องโหว่เหล่านั้นได้

    ก็ถือเป็นอีกเหตุการณ์ที่น่าสนใจสำหรับเหล่าผู้ให้บริการธุรกิจ Web Hosting และ Cloud นะครับ รวมถึงเหล่าผู้ใช้บริการธุรกิจเหล่านี้ที่ควรมีการทำ Backup แยกต่างหากออกมาภายนอกเพื่อลดความเสี่ยงด้วยครับ

    ที่มา: https://www.techtalkthai.com/south-korea-web-hosting-business-was-attacked-by-ransoware-for-35-million-thb-ransom/
    ที่มา: http://thehackernews.com/2017/06/web-hosting-ransomware.html
    เครดิตภาพ: ShutterStock.com

  • 05
    06

    ตรวจพบ Judy มัลแวร์ตัวใหม่ในแอพ Android ที่แอบคลิกโฆษณาโดยที่เราไม่รู้ตัว

    มัลแวร์บนระบบ Android สายพันธุ์ใหม่ถูกตรวจพบแล้ว แถมยังเป็นมัลแวร์ที่สร้างความน่ารำคาญใจอีกด้วย

    เมื่อเร็วๆ นี้ Check Point ซึ่งเป็นบริษัทวิจัยทางด้านความปลอดภัยบนอุปกรณ์มือถือ ได้เผยรายละเอียดของมัลแวร์ตัวใหม่ที่มีนามว่า Judy ซึ่งพบว่ามีการแฝงตัวอยู่ในแอพฯ ถึง 41 ตัวที่อยู่บน Google Play Store ซึ่งเป็นแหล่งดาวน์โหลดแอพฯ หลักของสาวก Android และเมื่อแอพฯ ที่แฝงมัลแวร์ Judy ได้ติดตั้งลงในเครื่อง มันจะทำการเชื่อมต่ออินเทอร์เน็ต แล้วใช้โค้ด JavaScript เพื่อไล่เปิดหน้าเว็บที่มีการแสดงแบนเนอร์โฆษณา จากนั้นก็แอบคลิกบนแบนเนอร์โฆษณาที่ถูกนำมาแสดงโดยแพลตฟอร์มการแสดงโฆษณาของ Google

    ซึ่งการแสดง และคลิกแบนเนอร์โฆษณา จะแอบทำแบบลับๆ ในฉากหลัง โดยที่เจ้าของอุปกรณ์ Android ไม่ทันจะได้รับรู้ แต่ในบางครั้ง มันก็จะส่งหน้าโฆษณาแสดงมาให้เราเห็น และเรามีเพียงทางเลือกเดียว คือการแตะลงบนโฆษณานั้น เพื่อให้เราสามารถใช้งานอุปกรณ์ได้ต่อไป

    แน่นอนว่าเป้าหมายของแฮกเกอร์คือ การแพร่กระจาย Judy เข้าไปในอุปกรณ์ Android ให้ได้มากที่สุดเท่าที่จะทำได้ และพวกเขาก็ทำได้สำเร็จ มัลแวร์ตัวนี้สามารถหลบหลีกการตรวจจับโดย Bouncer ซึ่งเป็นระบบ AI ที่ทาง Google สร้างขึ้นมาเพื่อตรวจสอบแอพฯ ใน Play Store ว่ามีการแฝงมัลแวร์มาหรือไม่ โดยแฮกเกอร์อาศัยรูปแบบของการใช้ Middleware ที่สามารถสร้างการเชื่อมต่อกับเซิร์ฟเวอร์ เพื่อการลักลอบติดตั้ง Judy ลงในอุปกรณ์ Android

    และเป็นเรื่องที่น่าตกใจ ก็เพราะมีการตรวจพบว่าแอพฯ ยอดนิยมที่มียอดดาวน์โหลดสูงหลายๆ ตัว เป็นพาหะของมัลแวร์ Judy

    นั่นหมายความว่าแอพฯ ที่ได้ดาวเยอะ ไม่ได้ปลอดภัยจากมัลแวร์เสมอไป นักวิจัยจาก Check Point กล่าวว่า "แฮกเกอร์สามารถซุกซ่อนมัลแวร์ไว้ในแอพฯ ของพวกเขาอย่างแนบเนียน และแอพฯ เหล่านี้ทำงานได้แบบไม่แสดงเค้าลางของภัยคุกคามให้เห็น ทำให้ผู้ใช้งานยังคงชื่นชอบแอพฯ ตัวนั้น ดังนั้นผู้ใช้งาน Android ไม่สามารถไว้วางใจได้ว่า แอพฯ ที่อยู่บน Play Store จะเป็นแอพฯ ที่ปลอดภัยเสมอไป ซึ่งทางออกที่ดีที่สุด ก็คงหนีไม่พ้นการติดตั้งแอพฯ แอนตี้ไวรัส ที่สามารถตรวจพบร่องรอยของมัลแวร์ตัวใหม่ๆ ได้ก่อนที่มันจะแพร่กระจายอย่างกว้างขวาง" (หรือเลือกติดตั้งเฉพาะแอพฯ ที่มาจากผู้พัฒนาที่น่าเชื่อถือ)

    ข้อมูลจาก Check Point ระบุว่า มีอุปกรณ์ Android ในระหว่าง 4.5 - 18.5 ล้านเครื่อง ที่ตกเป็นเหยื่อของ Judy และเมื่อย้อนกลับไปในช่วงต้นเดือนเมษายน 2016 พบว่ามีการปล่อยแอพฯ ที่แฝงมัลแวร์ออกมาหลายตัว จากบริษัทนักพัฒนาสัญชาติเกาหลี และทาง Check Point ก็พบแอพฯ แฝง Judy ที่มาจากบริษัทนักพัฒนารายอื่นด้วยเช่นกัน และคาดเดาว่า เทคนิคการโจมตีแบบนี้ได้ถูกนำไปใช้งานโดยแฮกเกอร์หลายกลุ่ม

    ที่มา : www.digitaltrends.com


  • 05
    06

    พบ Malware แฝงตัวใน PowerPoint แค่เอาเมาส์ลากผ่านลิงค์ก็ติด Malware ได้

    นักวิจัยด้านความปลอดภัยได้ออกมาแจ้งเตือนถึงการค้นพบการโจมตีแบบใหม่ผ่านทางไฟล์ PowerPoint ที่การโจมตีจะเริ่มขึ้นเมื่อผู้ใช้งานลากเมาส์ (Hover) ผ่านลิงค์ URL ในไฟล์ PowerPoint นั้น

    การโจมตีลักษณะนี้ถูกแพร่กระจายผ่านทางการส่งอีเมล์พร้อมแนบไฟล์นามสกุล .ppsx ที่อาจถูก ZIP มาหรือไม่ก็ได้ โดย .ppsx นี้เป็นไฟล์สำหรับ PowerPoint ที่เมื่อเปิดมาแล้วจะเข้าสู่ View Mode ทันที แตกต่างจาก .pptx ปกติที่เปิดแล้วจะเข้าสู่ Edit Mode แทน ซึ่งในหน้าจอ .ppsx นี้จะแสดงลิงค์ URL ที่เมื่อผู้ใช้งานลากเมาส์ผ่านแล้วจะทำการรันคำสั่ง PowerShell เพื่อเริ่มต้นโหลด Malware มาติดตั้งและโจมตีทันที

    การโจมตีนี้จะใช้ไม่ได้ผลหาก Microsoft Office มีการเปิด Protected View Mode เอาไว้ ซึ่งจะทำให้การเรียกใช้คำสั่ง PowerShell นั้นไม่สามารถทำได้สำเร็จ

    ทาง Microsoft เองก็ได้ออกมาแถลงว่านอกจากการใช้ Office Protected View ที่เป็นฟีเจอร์แบบ Default แล้ว ทั้ง Windows Defender และ Office 365 Advanced Threat Protection เองต่างก็สามารถตรวจจับและกำจัด Malware นี้ได้เช่นกัน

    ก็ถือเป็นอีกหนึ่งบทเรียนดีๆ ที่เหล่าผู้ใช้งานเทคโนโลยีทุกวันนี้ควรใช้งานอย่างระมัดระวังและปลอดภัยที่สุดครับ

    ที่มา: https://www.bleepingcomputer.com/news/security/powerpoint-file-downloads-malware-when-you-hover-a-link-no-macros-required/

  • 05
    06

    Wannacry Ransomware มัลแวร์เรียกค่าไถ่ ภัยร้ายระดับโลก

    Wannacry ไม่ใช่ ransomware ตัวเดียวในโลก ยังมีมัลแวร์เรียกค่าไถ่อีกหลายตัว ซึ่งมีมานานแล้ว และยังจะมีต่อๆไป คืออะไร เราจะระวังอย่างไร
    มาทำความรู้จักกับ Ransomware มัลแวร์เรียกค่าไถ่ ภัยร้ายระดับโลก ที่ใครๆก็โดนได้กันหน่อย จากรายการย้อนหลังนี้

    https://www.it24hrs.com/2017/wannacry-ransomware-video/

1 2 3 4 5 6 7 8 9