Security

Security

แรงงาน IT ปลอมจากเกาหลีเหนือขู่กรรโชกนายจ้างหลังขโมยข้อมูล

malware, Security

ชาวเกาหลีเหนือที่ปลอมตัวเป็นแรงงาน IT ได้ขู่กรรโชกนายจ้างของพวกเขาหลังจากที่ได้รับการเข้าถึงข้อมูลภายใน บริษัทหลายร้อยแห่งในสหรัฐฯ สหราชอาณาจักร และออสเตรเลียตกเป็นเหยื่อของแผนการใช้แรงงาน IT ปลอมจากเกาหลีเหนือ และบางบริษัทได้รับข้อเรียกร้องค่าไถ่หลังจากที่ผู้โจมตีสามารถเข้าถึงข้อมูลภายในได้ ตามรายงานของ Secureworks โดยผู้กระทำการใช้ข้อมูลประจำตัวที่ถูกขโมยหรือปลอมแปลงในการสมัครงานในบริษัทที่ถูกต้อง และหากได้รับการจ้างงาน จะใช้สิทธิ์เข้าถึงข้อมูลเพื่อขโมยข้อมูลและเข้าใจโครงสร้างพื้นฐานขององค์กรนั้น ๆ มีรายงานว่ามีบริษัทมากกว่า 300 แห่งที่ตกเป็นเหยื่อของแผนการนี้ รวมถึงบริษัทด้านความปลอดภัยทางไซเบอร์ KnowBe4 และชาวรัฐแอริโซนา Christina Marie Chapman ซึ่งถูกตั้งข้อหาในเดือนพฤษภาคมสำหรับบทบาทที่เกี่ยวข้องในการช่วยแรงงาน IT ปลอมจากเกาหลีเหนือหางานในสหรัฐฯ ตามรายงานล่าสุดจาก Mandiant แผนการที่ Chapman มีส่วนร่วมได้สร้างรายได้อย่างน้อย 6.8 ล้านดอลลาร์สหรัฐ ระหว่างปี 2020 ถึง 2023 ซึ่งมีความเป็นไปได้ว่านำเงินไปสนับสนุนโครงการนิวเคลียร์และขีปนาวุธของเกาหลีเหนือ กิจกรรมนี้ถูกติดตามภายใต้ชื่อ UNC5267 และ Nickel Tapestry โดยปกติจะพึ่งพาการจ้างแรงงานปลอมเพื่อสร้างรายได้ แต่ Secureworks พบว่ากลยุทธ์ของผู้โจมตีมีการพัฒนา โดยเพิ่มการขู่กรรโชกเข้ามาในแผนการนี้ “ในบางกรณี แรงงานปลอมเรียกร้องค่าไถ่จากนายจ้างเก่าหลังจากได้รับการเข้าถึงข้อมูลภายใน ซึ่งเป็นกลยุทธ์ที่ไม่เคยพบในแผนการก่อนหน้านี้ ในกรณีหนึ่ง ผู้รับเหมาขโมยข้อมูลลับเกือบทันทีหลังจากเริ่มงานในกลางปี 2024” […]

Varodom Sommart

October 21, 2024

Volkswagen ระบุว่าโครงสร้างพื้นฐานด้าน IT ไม่ได้รับผลกระทบ หลังจากกลุ่มแรนซัมแวร์ 8Base อ้างว่าขโมยข้อมูล

malware, Security, Uncategorized

Volkswagen ได้ออกแถลงการณ์หลังจากกลุ่มแรนซัมแวร์ 8Base อ้างว่าพวกเขาได้ขโมยข้อมูลสำคัญจากระบบของบริษัท กลุ่ม Volkswagen ได้ออกแถลงการณ์หลังจากกลุ่มแรนซัมแวร์ที่เป็นที่รู้จักอ้างว่าขโมยข้อมูลสำคัญจากระบบของผู้ผลิตรถยนต์รายนี้ “เหตุการณ์นี้เป็นที่รับทราบแล้ว” โฆษกของ Volkswagen กล่าวกับ SecurityWeek พร้อมเสริมว่า “โครงสร้างพื้นฐานด้าน IT ของกลุ่ม Volkswagen ไม่ได้รับผลกระทบ เรากำลังติดตามสถานการณ์อย่างใกล้ชิด” Volkswagen Group เป็นเจ้าของแบรนด์รถยนต์ต่างๆ เช่น Volkswagen, Skoda, Seat, Audi, Lamborghini, Porsche, Cupra, และ Bentley บริษัทไม่ได้เปิดเผยข้อมูลเพิ่มเติมเกี่ยวกับการโจมตีทางไซเบอร์นี้ แถลงการณ์สั้นๆ ดังกล่าวออกมาหลังจากที่กลุ่มแรนซัมแวร์ 8Base ได้ระบุชื่อผู้ผลิตรถยนต์รายนี้บนเว็บไซต์ที่เผยแพร่ข้อมูลหลุดของกลุ่ม กลุ่ม 8Base อ้างว่าพวกเขาได้ขโมยใบแจ้งหนี้ ใบเสร็จเอกสารทางบัญชี ข้อมูลส่วนบุคคล ใบรับรอง สัญญาการจ้างงาน แฟ้มบุคลากร และ “ข้อมูลลับจำนวนมาก” แม้ว่ากลุ่มแรนซัมแวร์จะระบุว่าหมดเวลาสำหรับ Volkswagen แล้ว แต่ดูเหมือนว่ากลุ่มแฮ็กเกอร์ยังไม่ได้เปิดเผยข้อมูลที่ขโมยไปสู่สาธารณะ กลุ่มแรนซัมแวร์ 8Base ปรากฏตัวตั้งแต่ต้นปี 2023 […]

Varodom Sommart

October 17, 2024

OpenAI ระบุว่ากลุ่มแฮ็กเกอร์ชาวอิหร่านใช้ ChatGPT เพื่อวางแผนโจมตีระบบควบคุมอุตสาหกรรม (ICS)

Security

OpenAI ได้หยุดยั้งปฏิบัติการทางไซเบอร์และการแทรกแซงข้อมูลจำนวน 20 ครั้งในปีนี้ รวมถึงการดำเนินกิจกรรมของแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลอิหร่านและจีน รายงานที่เผยแพร่ในสัปดาห์นี้โดย OpenAI เปิดเผยว่าบริษัทด้านปัญญาประดิษฐ์นี้ได้หยุดยั้งปฏิบัติการทางไซเบอร์และการแทรกแซงข้อมูลลับมากกว่า 20 ครั้งตั้งแต่ต้นปีนี้ รวมถึงกิจกรรมของแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลอิหร่านและจีน รายงานดังกล่าวระบุถึงกลุ่มภัยคุกคามสามกลุ่มที่ใช้ประโยชน์จาก ChatGPT เพื่อดำเนินการโจมตีทางไซเบอร์ หนึ่งในกลุ่มแฮ็กเกอร์เหล่านี้คือ CyberAv3ngers ซึ่งเชื่อมโยงกับกองกำลังพิทักษ์การปฏิวัติอิสลามแห่งอิหร่าน (IRGC) ซึ่งเป็นที่รู้จักในปีนี้จากการโจมตีภาคส่วนการประปา กลุ่มนี้ได้โจมตีระบบควบคุมอุตสาหกรรม (ICS) ของสถานีประปาในไอร์แลนด์ (ทำให้ผู้คนขาดน้ำเป็นเวลา 2 วัน) สถานีประปาในเพนซิลเวเนีย และสถานีประปาอื่นๆ ในสหรัฐอเมริกา การโจมตีเหล่านี้ไม่ได้ซับซ้อน แต่ใช้ประโยชน์จากข้อเท็จจริงที่ว่าองค์กรหลายแห่งเปิดให้เข้าถึง ICS ผ่านอินเทอร์เน็ตและป้องกันด้วยข้อมูลรับรองเริ่มต้นที่หาได้ง่าย ตามรายงานของ OpenAI บัญชีที่เชื่อมโยงกับ CyberAv3ngers ใช้ ChatGPT ในการสำรวจและช่วยเหลือในการหาช่องโหว่ การหลบเลี่ยงการตรวจจับ และกิจกรรมหลังการเจาะระบบ หลายกิจกรรมการสำรวจเหล่านี้เกี่ยวข้องกับการโจมตีอุปกรณ์ควบคุมลอจิกโปรแกรมได้ (PLC) และระบบ ICS อื่นๆ โดยเฉพาะแฮ็กเกอร์ได้สอบถาม ChatGPT เกี่ยวกับพอร์ตและโปรโตคอลอุตสาหกรรมที่สามารถเชื่อมต่อกับอินเทอร์เน็ต อุปกรณ์ควบคุมและ PLC ที่ใช้กันทั่วไปในจอร์แดน รวมถึงบริษัทไฟฟ้าและผู้รับเหมาที่นั่น และรหัสผ่านเริ่มต้นสำหรับอุปกรณ์ Tridium […]

Varodom Sommart

October 17, 2024

Noise Storms: ปริมาณมหาศาลของทราฟฟิกเว็บปลอมที่เชื่อมโยงกับจีน

Network, Security

GreyNoise ได้สังเกตเห็นที่อยู่ IP ปลอมหลายล้านรายการที่ท่วมท้นผู้ให้บริการอินเทอร์เน็ตด้วยทราฟฟิกเว็บ ซึ่งเน้นไปที่การเชื่อมต่อ TCP เป็นหลัก บริษัทข่าวกรองด้านความปลอดภัยไซเบอร์ GreyNoise ได้เตือนถึงปรากฏการณ์ที่น่ากังวลเกี่ยวกับการจราจรบนเครือข่ายที่ถูกปลอมแปลง (spoofed traffic) จำนวนมาก ซึ่งน่าจะมีความเชื่อมโยงกับประเทศจีน ตั้งแต่เดือนมกราคม 2020 เป็นต้นมา ได้มีการพบเห็น IP หลายล้านแอดเดรสสร้างการจราจรปลอมแปลงที่ดูเหมือนเป็นการออกอากาศ ซึ่ง GreyNoise ได้ตั้งชื่อปรากฏการณ์นี้ว่า Noise Storm โดยทั่วไปแล้ว Noise Storm เหล่านี้จะมุ่งเน้นไปที่การเชื่อมต่อแบบ TCP และในบางกรณีก็มีการใช้แพ็กเก็ต ICMP แต่ไม่เคยใช้แพ็กเก็ต UDP ซึ่งเป็นแพ็กเก็ตที่มักใช้ในการโจมตีแบบ DoS (Distributed Denial of Service) ซึ่งอาจสื่อได้ว่าผู้ส่งข้อมูลสนใจเกี่ยวกับผู้ที่ได้รับการจราจรดังกล่าว ลักษณะของการจราจรที่ถูกสังเกตพบมีการปลอมแปลงค่า Time To Live (TTL) เพื่อเลียนแบบการเชื่อมต่อของเครือข่ายจริง การปลอมแปลงขนาดของหน้าต่าง (window size) เพื่อเลียนแบบการจราจรจากระบบปฏิบัติการต่าง ๆ และความเข้มข้นที่เพิ่มขึ้นและมุ่งเป้าหมายไปยังส่วนต่าง ๆ ของอินเทอร์เน็ต […]

Varodom Sommart

September 23, 2024

Atlassian ได้ออกแพตช์อัปเดตเพื่อแก้ไขช่องโหว่ความปลอดภัยในผลิตภัณฑ์ Bamboo, Bitbucket, Confluence, และ Crowd ในเดือนกันยายน 2024

Security

โดยในเอกสารประกาศความปลอดภัยรายเดือนของ Atlassian ได้ระบุถึงช่องโหว่ที่มีความรุนแรงสูงในผลิตภัณฑ์ทั้ง 4 ตัว ซึ่งอาจส่งผลกระทบต่อการใช้งานและความปลอดภัยของระบบ Atlassian ได้ประกาศแพตช์เพื่อแก้ไขช่องโหว่หลายรายการที่มีความรุนแรงสูงในผลิตภัณฑ์ **Bamboo**, **Bitbucket**, **Confluence**, และ **Crowd** เมื่อวันพุธที่ผ่านมา โดยในเอกสารประกาศความปลอดภัยเดือนกันยายน 2024 ระบุว่าช่องโหว่ทั้งหมด 4 รายการนี้สามารถถูกใช้โจมตีเพื่อก่อให้เกิด **การปฏิเสธการให้บริการ (Denial-of-Service – DoS)** ได้ รายละเอียดช่องโหว่ที่ได้รับการแก้ไขในผลิตภัณฑ์ต่างๆ ได้แก่: 1. **Bamboo Data Center และ Server**: ได้รับการอัปเดตเพื่อแก้ไข **CVE-2024-34750** ซึ่งเป็นช่องโหว่ใน **Coyote** ส่วนเชื่อมต่อของ **Apache Tomcat** โดยเมื่อประมวลผลการเชื่อมต่อ **HTTP/2** Tomcat ไม่สามารถจัดการกับส่วนหัว HTTP ที่มากเกินไปได้อย่างถูกต้อง ซึ่งอาจทำให้เกิดปัญหาในการนับจำนวนสตรีม HTTP/2 ที่ใช้งานอยู่ และปล่อยให้การเชื่อมต่อยังคงเปิดอยู่ 2. **Bitbucket Data Center และ Server**: […]

Varodom Sommart

September 23, 2024

ช่องโหว่ล่าสุดใน SonicWall Firewall อาจถูกนำมาใช้ในการโจมตีจริง

Security

SonicWall กำลังเตือนลูกค้าว่าช่องโหว่ร้ายแรงที่เพิ่งได้รับการแก้ไข **CVE-2024-40766** อาจถูกใช้ในการโจมตีจริงในโลกไซเบอร์ SonicWall เตือนลูกค้าว่าช่องโหว่ใน SonicOS ซึ่งมีรหัส **CVE-2024-40766** ที่เพิ่งได้รับการแก้ไข อาจถูกนำไปใช้ในการโจมตีจริง ช่องโหว่นี้ถูกเปิดเผยเมื่อวันที่ 22 สิงหาคม เมื่อ SonicWall ประกาศการมีอยู่ของแพตช์สำหรับผลิตภัณฑ์ที่ได้รับผลกระทบในแต่ละซีรีส์ รวมถึงไฟร์วอลล์รุ่น Gen 5, Gen 6 และ Gen 7 ช่องโหว่นี้ถูกอธิบายว่าเป็นปัญหาการควบคุมการเข้าถึงที่ไม่เหมาะสมใน SonicOS ซึ่งเกี่ยวข้องกับการเข้าถึงการจัดการและ SSLVPN ทำให้สามารถเข้าถึงทรัพยากรโดยไม่ได้รับอนุญาต และในบางกรณีอาจทำให้ไฟร์วอลล์ล่มได้ SonicWall ได้อัปเดตคำแนะนำเมื่อวันศุกร์ เพื่อแจ้งลูกค้าว่า “ช่องโหว่นี้อาจกำลังถูกใช้ในการโจมตีจริง” แม้จะมีอุปกรณ์ของ SonicWall จำนวนมากที่เชื่อมต่อกับอินเทอร์เน็ต แต่ยังไม่ชัดเจนว่ามีกี่อุปกรณ์ที่เสี่ยงต่อการถูกโจมตีจากช่องโหว่ **CVE-2024-40766** ดังนั้นลูกค้าควรอัปเดตแพตช์ในอุปกรณ์ของตนทันที นอกจากนี้ SonicWall ยังได้แนะนำลูกค้าที่ใช้ไฟร์วอลล์รุ่น **GEN5** และ **GEN6** ร่วมกับผู้ใช้ SSLVPN ที่มีบัญชีที่จัดการในระบบท้องถิ่นให้อัปเดตรหัสผ่านทันที เพื่อเพิ่มความปลอดภัยและป้องกันการเข้าถึงที่ไม่ได้รับอนุญาต Credit : Securityweek.com

Varodom Sommart

September 9, 2024

Veeam ได้ออกแพตช์แก้ไขช่องโหว่ความรุนแรงระดับวิกฤตในผลิตภัณฑ์หลักของบริษัท ได้แก่ Backup & Replication, ONE, และ Service Provider Console โดยช่องโหว่เหล่านี้อาจทำให้ผู้โจมตีสามารถเจาะเข้าระบบได้และมีผลกระทบต่อองค์กรต่างๆ ที่ใช้ผลิตภัณฑ์เหล่านี้ในการสำรองข้อมูลและจัดการระบบ

Security, Tech

การอัปเดตแพตช์นี้มีความสำคัญอย่างยิ่ง เนื่องจากช่องโหว่ที่ถูกแก้ไขนั้นอาจทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลสำคัญของระบบหรือสร้างความเสียหายต่อกระบวนการสำรองข้อมูลและการจัดการระบบโดยรวมได้ Veeam แนะนำให้ผู้ใช้งานทำการอัปเดตซอฟต์แวร์ของตนไปยังเวอร์ชันล่าสุดทันทีเพื่อป้องกันความเสี่ยงที่อาจเกิดขึ้นจากช่องโหว่เหล่านี้ บริษัท Veeam ซึ่งเชี่ยวชาญด้านการสำรองข้อมูล การกู้คืน และการป้องกันข้อมูล ได้ประกาศอัปเดตแพตช์สำหรับหลายช่องโหว่ในผลิตภัณฑ์องค์กรของบริษัทในสัปดาห์นี้ ซึ่งรวมถึงช่องโหว่รุนแรงที่อาจนำไปสู่การ **Remote Code Execution (RCE)** ทาง Veeam ได้แก้ไขช่องโหว่ทั้งหมด 6 รายการในผลิตภัณฑ์ **Backup & Replication** โดยหนึ่งในช่องโหว่ที่สำคัญที่สุดถูกติดตามในชื่อ **CVE-2024-40711** ซึ่งมี **CVSS** คะแนน 9.8 และสามารถถูกโจมตีจากระยะไกลโดยไม่ต้องยืนยันตัวตน เพื่อให้สามารถรันโค้ดที่เป็นอันตรายได้ นอกจากนี้ ยังมี **CVE-2024-40710** (CVSS คะแนน 8.8) ซึ่งประกอบด้วยช่องโหว่รุนแรงหลายรายการที่อาจนำไปสู่การ **RCE** และการเปิดเผยข้อมูลที่สำคัญ ช่องโหว่รุนแรงอื่น ๆ อีก 4 รายการเกี่ยวข้องกับการแก้ไขการตั้งค่าการยืนยันตัวตนแบบหลายปัจจัย (MFA) การลบไฟล์ การดักจับข้อมูลประจำตัวที่สำคัญ และการยกระดับสิทธิ์ในเครื่อง ทั้งหมดนี้มีผลกระทบต่อ **Backup & Replication เวอร์ชัน 12.1.2.172** […]

Varodom Sommart

September 9, 2024

CISA (Cybersecurity and Infrastructure Security Agency) ได้ออกมาแสดงความคิดเห็นเกี่ยวกับช่องโหว่ที่เป็นข้อถกเถียงในระบบรักษาความปลอดภัยของสนามบิน ซึ่งอาจทำให้สามารถข้ามการตรวจสอบระบบความปลอดภัยบางอย่างในสนามบินได้

Security

นักวิจัยและ TSA (Transportation Security Administration) มีมุมมองที่แตกต่างกันเกี่ยวกับผลกระทบของช่องโหว่เหล่านี้ในแอปพลิเคชันรักษาความปลอดภัยของสนามบิน ช่องโหว่ที่ถูกกล่าวถึงนี้อาจทำให้ผู้โจมตีสามารถหลีกเลี่ยงการตรวจสอบความปลอดภัยบางระบบได้ ซึ่งก่อให้เกิดข้อกังวลในด้านความปลอดภัยของสนามบิน ทั้ง CISA และ TSA ต่างออกมาพูดถึงช่องโหว่เหล่านี้ แต่ยังไม่มีความเห็นที่เป็นเอกฉันท์ว่า ช่องโหว่ดังกล่าวจะมีผลกระทบต่อความปลอดภัยของสนามบินมากน้อยเพียงใด หน่วยงานด้านความมั่นคงไซเบอร์ของสหรัฐฯ (CISA) ได้ออกแถลงการณ์หลังจากการเปิดเผยช่องโหว่ที่เกี่ยวข้องกับระบบรักษาความปลอดภัยสนามบิน ซึ่งเป็นประเด็นที่ได้รับความสนใจอย่างมาก ในช่วงปลายเดือนสิงหาคม 2024 นักวิจัย Ian Carroll และ Sam Curry ได้เปิดเผยรายละเอียดของช่องโหว่ประเภท SQL injection ซึ่งอาจทำให้ผู้โจมตีสามารถข้ามการตรวจสอบระบบรักษาความปลอดภัยบางระบบของสนามบินได้ ช่องโหว่นี้ถูกค้นพบใน FlyCASS ซึ่งเป็นบริการของบุคคลที่สามที่ใช้กับสายการบินที่เข้าร่วมในโปรแกรม Cockpit Access Security System (CASS) และ Known Crewmember (KCM) โดยโปรแกรม KCM นั้นช่วยให้เจ้าหน้าที่รักษาความปลอดภัยของ TSA (Transportation Security Administration) สามารถยืนยันตัวตนและสถานะการทำงานของลูกเรือ ซึ่งช่วยให้ลูกเรือเช่นนักบินและพนักงานต้อนรับบนเครื่องบินไม่ต้องผ่านการตรวจสอบความปลอดภัยเหมือนผู้โดยสารปกติ CASS เป็นโปรแกรมที่ช่วยให้เจ้าหน้าที่ประจำประตูทางออกของสายการบินสามารถตรวจสอบได้ว่านักบินคนใดมีสิทธิ์ใช้งานที่นั่งเสริมในห้องนักบินหรือไม่ ซึ่งที่นั่งเสริมนี้เป็นที่นั่งที่นักบินที่ต้องเดินทางในฐานะผู้โดยสารสามารถใช้ได้ […]

Varodom Sommart

September 9, 2024

ไมโครซอฟท์เผยว่ากลุ่มแฮ็กเกอร์เกาหลีเหนือเป็นผู้อยู่เบื้องหลังการโจมตีช่องโหว่ Zero-Day ในเบราว์เซอร์ Chrome

Security

ทีมข่าวกรองภัยคุกคามของบริษัท Microsoft ระบุว่าการใช้ประโยชน์จากช่องโหว่ CVE-2024-7971 สามารถเชื่อมโยงไปยังกลุ่ม APT (Advanced Persistent Threat) ของเกาหลีเหนือ ซึ่งกำลังมุ่งเป้าไปที่ภาคส่วนคริปโทเคอร์เรนซีเพื่อแสวงหาผลประโยชน์ทางการเงิน   ทีมข่าวกรองภัยคุกคามของ Microsoft เปิดเผยว่ากลุ่มผู้คุกคามจากเกาหลีเหนือเป็นผู้รับผิดชอบในการใช้ประโยชน์จากช่องโหว่การเรียกใช้โค้ดระยะไกล (remote code execution) ในเบราว์เซอร์ Chrome ที่ Google ได้ทำการแพตช์เมื่อต้นเดือนนี้ ตามข้อมูลใหม่จาก Microsoft พบว่ามีกลุ่มแฮ็กเกอร์ที่เกี่ยวข้องกับรัฐบาลเกาหลีเหนือใช้ช่องโหว่ Zero-Day กับข้อบกพร่องใน Chromium V8 ซึ่งเป็นเอนจินของ JavaScript และ WebAssembly ช่องโหว่ที่ถูกติดตามด้วยรหัส CVE-2024-7971 ได้รับการแพตช์โดย Google เมื่อวันที่ 21 สิงหาคม และถูกระบุว่าเป็นช่องโหว่ที่ถูกใช้ประโยชน์ในการโจมตีแล้ว โดยนี่เป็นช่องโหว่ Zero-Day ตัวที่เจ็ดที่ถูกใช้ในการโจมตี Chrome ในปีนี้ Microsoft ระบุว่า “เราประเมินด้วยความมั่นใจสูงว่าการใช้ประโยชน์จากช่องโหว่ CVE-2024-7971 ที่ถูกสังเกตเห็นนั้น สามารถเชื่อมโยงกับกลุ่มผู้คุกคามจากเกาหลีเหนือที่มุ่งเป้าหมายไปยังภาคคริปโทเคอร์เรนซีเพื่อผลประโยชน์ทางการเงิน” Microsoft ระบุว่าการโจมตีเหล่านี้เป็นฝีมือของกลุ่มที่ชื่อว่า […]

Varodom Sommart

September 2, 2024

รัฐบาลสหรัฐฯ ออกคำแนะนำเกี่ยวกับกลุ่มแรนซัมแวร์ที่ถูกกล่าวหาว่าเป็นผู้โจมตีทางไซเบอร์ต่อ Halliburton

Security

กลุ่มแรนซัมแวร์ RansomHub ซึ่งถูกกล่าวหาว่าเป็นผู้โจมตีทางไซเบอร์ต่อบริษัทน้ำมันยักษ์ใหญ่อย่าง Halliburton ได้ทำให้มีผู้ตกเป็นเหยื่ออย่างน้อย 210 ราย โดยทางรัฐบาลสหรัฐฯ ได้ออกคำแนะนำเกี่ยวกับกลุ่มนี้เพื่อเตือนและให้ข้อมูลเกี่ยวกับภัยคุกคามทางไซเบอร์ที่อาจเกิดขึ้นจากกลุ่มนี้ รวมถึงวิธีการป้องกันและรับมือกับการโจมตีจากแรนซัมแวร์ในอนาคต   กลุ่มแรนซัมแวร์ RansomHub ถูกเชื่อว่าอยู่เบื้องหลังการโจมตีทางไซเบอร์ต่อบริษัทน้ำมันยักษ์ใหญ่อย่าง Halliburton โดยรัฐบาลสหรัฐฯ ได้ออกคำแนะนำเกี่ยวกับกลุ่มอาชญากรรมไซเบอร์นี้ Halliburton ซึ่งถือว่าเป็นบริษัทบริการน้ำมันที่ใหญ่เป็นอันดับสองของโลก ได้เปิดเผยเมื่อวันที่ 21 สิงหาคมในเอกสารที่ยื่นต่อคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (SEC) ว่ามีบุคคลที่ไม่ได้รับอนุญาตเข้าถึงระบบบางส่วนของบริษัท แม้จะไม่มีการเปิดเผยรายละเอียดทางเทคนิคต่อสาธารณะ แต่ขั้นตอนการตอบสนองต่อเหตุการณ์ที่บริษัทอธิบายแสดงให้เห็นว่าอาจมีการโจมตีด้วยแรนซัมแวร์ ตั้งแต่เหตุการณ์นี้เป็นที่รู้จัก มีรายงานที่ยังไม่ได้รับการยืนยันหลายฉบับที่ระบุว่า RansomHub อยู่เบื้องหลังการโจมตี Halliburton รวมถึงจากนักวิจัยแรนซัมแวร์ที่มีชื่อเสียงอย่าง Dominic Alvieri ใน Reddit มีบุคคลนิรนามหลายคนกล่าวถึง RansomHub ว่าเป็นผู้โจมตี โดยมีคนหนึ่งอ้างว่าข้อมูลถูกขโมยและอาชญากรไซเบอร์เรียกร้องค่าไถ่เป็นเงิน 45 ล้านดอลลาร์ Bleeping Computer ก็รายงานเมื่อวันพฤหัสบดีว่า RansomHub อยู่เบื้องหลังการโจมตี Halliburton โดยอ้างอิงจากตัวชี้วัดการบุกรุก (IoCs) เว็บไซต์รั่วไหลของ RansomHub บน Tor ในขณะที่เขียนนี้ยังไม่กล่าวถึง […]

Varodom Sommart

September 2, 2024
1 2 3 5

สอบถามข้อมูลเพิ่มเติม