Messenger

RubyMiner มัลแวร์ที่ใช้งานเครื่องคอมพิวเตอร์ เพื่อขุดเงินดิจิทัล

Check Point, Certego และ Ixia ออกมาแจ้งเตือนถึง RubyMiner มัลแวร์ขุดเหรียญดิจิทัลตัวใหม่ที่กำลังแพร่ระบาดอยู่ในขณะนี้ โดยพุ่งเป้าทั้ง Linux และ Windows Server ที่ใช้ซอฟต์แวร์เวอร์ชันเก่าและยังไม่ได้รับการแพทช์ หวังหลอกใช้ทรัพยากรเครื่องในการขุดเหรียญเงินดิจิทัล Stefan Tanase จาก Ixia ระบุว่า แฮ็กเกอร์ผู้อยู่เบื้องหลัง RubyMiner ใช้เครื่องมือทำ Web Server Fingerprint ที่เรียกว่า p0f ในการสแกนและค้นหา Linux และ Windows Server ที่รันซอฟต์แวร์เวอร์ชันเก่าที่ยังไม่ได้ทำการแพตช์ หลังจากที่ค้นเจอแล้ว แฮ็กเกอร์จะทำการเจาะระบบผ่านช่องโหว่เพื่อฝังมัลแวร์ RubyMiner ลงไปบน Server เครื่องนั้นๆ โดยช่องโหว่ที่แฮ็กเกอร์ใช้ประกอบด้วย Ruby on Rails XML Processor YAML Deserialization Code Execution (CVE-2013-0156) PHP php-cgi Query String Parameter Code […]

ผู้เขียนMalwareเสนอให้โทรจันแก่แฮ็กเกอร์ แลกกับการขอแจมประโยชน์จากเหยื่อ

มัลแวร์

ช่วงไม่กี่เดือนที่ผ่านมานั้น มีการเสนอให้โทรจันไปใช้ฟรีๆ บนเว็บมืดต่างๆ ผ่านตัวสร้างMalware ที่ชื่อ Cobian โดยออกมาเป็นโค้ดโทรจันแบบสั่งการระยะไกลหรือ RAT ที่ใช้หลักการคล้ายกับตัว njRAT ที่เคยระบาดหนักช่วง 4 ปีที่ผ่านมา ครั้งนี้มาพร้อมกับอาวุธพื้นฐานอย่างคีย์ล็อกเกอร์, ตัวแฮ็กเว็บแคม, แคปเจอร์ภาพหน้าจอ, และความสามารถในการรันโค้ดของผู้ใช้เองบนเครื่องเป้าหมาย แต่ RAT ของ Cobain นี้มีซัมติงแฝงจากคนแต่งใจดีด้วย อันได้แก่ข้อมูลเปย์โหลดที่เปิดให้ตัวคนเขียนเข้าควบคุมเครื่องที่ตกเป็นเหยื่อ หรือแม้แต่ตัดการเชื่อมต่อระหว่างเครื่องเหยื่อกับอาชญากรรายแรกที่เอาโค้ดของเค้าไปใช้ได้ด้วย ทางนักวิจัยด้านความปลอดภัยจากบริษัท Zscaler กล่าวว่า นี่คือเทคนิคใหม่ในการแพร่กระจายมัลแวร์แบบหาคนร่วมด้วยช่วยกันหรือ Crownsourced ทำให้ได้เครือข่ายบอทเน็ตขนาดมหึมา เปย์โหลดแฝงนี้จะติดต่อกับเพจหนึ่งบน Pastebin.com เพื่อให้ได้ที่อยู่ปัจจุบันของเซิร์ฟเวอร์สั่งการของเจ้าตัวคนเขียน โดยก่อนหน้านั้นจะพยายามเก็บตัวเงียบเพื่อเลี่ยงการตรวจจับ จากการวิเคราะห์พฤติกรรมแล้ว เหมือนคนเขียนผู้ใจดีนี้จะยังไม่ตัดสินใจตัดการเชื่อมต่อของแฮ็กเกอร์ที่โหลดมัลแวร์ไปใช้ในทันทีเพื่อไม่ให้ไหวตัวทัน โดยคาดว่าเป็นเพราะต้องการขยายเครือข่ายการติดเชื้อบอทเน็ตให้ได้มากที่สุดจนเรียกว่าเป็นกองทัพซอมบี้ ก่อนจะลงมือกดปุ่มโจมตีทั่วโลกในไม่ช้า ที่มา : https://www.theregister.co.uk/2017/08/31/free_trojan_for_hackers ผู้เขียนมัลแวร์เสนอให้โทรจันแก่แฮ็กเกอร์ แลกกับการขอแจมประโยชน์จากเหยื่อ

Trojan Development Kit แอพที่สามารถสร้างRansomware ได้ง่ายๆในไม่กี่นาที

Trojan Development Kit

นักวิจัยด้านความปลอดภัยจากบริษัทแอนติไวรัสชื่อดัง Symantec ตรวจพบแอพแอนดรอยด์หลายตัวตามเว็บบอร์ดของแฮ็กเกอร์ รวมถึงโฆษณาผ่านบริการส่งข้อความทางโซเชียลชื่อดังในจีน ที่เปิดให้แฮ็กเกอร์มือใหม่กิ๊กที่วันนาบีสามารถโหลดมาใช้ในฐานะ Trojan Development Kit หรือ TDK ได้ ด้วยอินเทอร์เฟซที่เรียบง่าย และหน้าตาที่ไม่ต่างจากแอพบนแอนดรอยด์ทั่วไปนอกจากที่เปิดให้ผู้ใช้สร้างมัลแวร์บนอุปกรณ์พกพาที่ปรับแต่งได้ตามต้องการ โดยไม่ต้องมีความรู้เกี่ยวกับโปรแกรมมิ่งแต่อย่างใด เพียงแค่ดาวน์โหลดแอพดังกล่าว ติดตั้งและเปิดใช้งาน ซึ่งจะมีหน้าแบบฟอร์มให้เลือกคุณสมบัติของมัลแวร์อันได้แก่ • ลักษณะคีย์ที่ใช้ปลดล็อกอุปกรณ์ที่ติดเชื้อ • ไอคอนที่จะใช้กับมัลแวร์ • สูตรสำเร็จทางคณิตศาสตร์ที่ปรับแก้ได้ เพื่อสุ่มโค้ดปลดรหัส • ลักษณะของภาพเคลื่อนไหวที่ต้องการแสดงบนอุปกรณ์ที่ติดเชื้อ หลังจากกรอกเรียบร้อย แค่คลิกปุ่ม “Create” ก็ได้มัลแวร์มาใช้สมใจอยาก เติมเต็มความวันนาบีได้ทันที แต่ถ้าผู้ใช้ยังไม่เคยสมัครหรือจ่ายเงินค่าสมาชิก แอพจะเปิดออนไลน์แชตกับนักพัฒนาที่เปิดให้ผู้ใช้ชำระเงิน หลังจากนั้นก็จะเปิดให้ผู้ใช้สามารถเลือกเหยื่อที่ต้องการส่งมัลแวร์เพชฌฆาตไปหาได้ทันที แรนซั่มแวร์ที่ได้นี้ทำได้ทั้งล็อกการใช้งาน, เปลี่ยน PIN, สั่งลบข้อมูลผ่านคำสั่ง Factory Reset, รวมทั้งมีระบบป้องกันไม่ให้เหยื่อถอนการติดตั้งมัลแวร์ได้ด้วย ที่มา : http://thehackernews.com/2017/08/create-android-ransomware.html, https://www.enterpriseitpro.net/archives/7806

วิธีป้องกันVirus Malware เรียกค่าไถ่ Petya : Ramsomware จาก ETDA

Petya คือ ชื่อเรียกVirus Malware เรียกค่าไถ่ เมื่อ 27 มิถุนายน 2560 มีการแพร่ระบาดของMalware ในรูปแบบเรียกค่าไถ่ ตัวใหม่ที่ชื่อว่า Petya ( Petrwrap) โดยอาศัยช่องโหว่ของระบบ SMBv1 หรือ EternalBlue แบบเดียวกับMalware Wannacry  ที่เคยระบาดไปเมื่อไม่นานมานี้ แต่ว่า Petya กลับมาในรูปแบบที่ร้ายแรงกว่าเดิม เพราะมันไม่ใช่แค่ล็อคไฟล์เอกสารในเครื่อง แต่มันล็อคไม่ให้เปิดเข้าไปใช้งานระบบปฎิบัติการได้ และตอนนี้ยังไม่มี Key ที่จะถอดรหัสได้ โดยPetya แพร่กระจายสู่คอมพิวเตอร์ทั่วโลกแล้วกว่า3แสนเครื่อง ภายใน 72ช.ม. แล้วจะแก้ปัญหาได้อย่างไร วันนี้เรามีคำแนะนำ จาก ETDA มาฝากกันค่ะ ข้อแนะนำในการป้องกัน และลดความเสี่ยงจาก Virus Malware เรียกค่าไถ่“Petya” 1.ตัดการเชื่อมต่ออินเทอร์เน็ต Update Patch Windows และฐานข้อมูลโปรแกรมแอนติไวรัสให้เป็นเวอร์ชั่นล่าสุด 2.พิจารณาปิดการทำงานของ SMBv1 หากไม่ได้ใช้ 3.ปิดการเข้าถึงพอร์ต TCP/UDP 135-139 และ TCP445 ที่อุปกรณ์ Firewall 4.พิจารณาปิดการทำงานของบริการ […]

Petya : ransomware เรียกค่าไถ่ที่ไม่มีวันจ่ายได้ ภัยใกล้ตัวที่ทุกองค์กรต้องระวัง!!!

Petya Ransomeware

สำหรับสถานการณ์ตอนนี้ของ Ransomware : Petya ต้องบอกว่า สร้างความเสียหายไปไกลมากแล้วค่ะ และวันนี้เรามีมุมมองดี ๆ จาก “คุณปกรณ์ ลี้สกุล” ประธานเจ้าหน้าที่บริหาร และผู้ก่อตั้งบริษัท Finema ซึ่งมีประสบการณ์ด้าน Enterprise Solution กว่า 10 ปีมาฝากกันเกี่ยวกับกรณีของ Petya เชิญท่านผู้อ่านติดตามได้เลยค่ะ นับเป็นเหตุการณ์ช็อคโลกครั้งที่ 2 ในรอบ 2 เดือน สำหรับ Ransomware ครั้งแรกในช่วงเดือนพฤษภาคมที่ผ่านมาก็คือ Wannacry มีคอมพิวเตอร์ถูกเรียกค่าไถ่เป็นจำนวนกว่า 230,000 เครื่อง ใน 150 ประเทศ หนึ่งในนั้นคือหน่วยงาน Britain’s National Health Service (NHS) แต่ในช่วง 24 ชั่วโมงนี้คงต้องบอกว่า Ransomware กลับมาดังอีกรอบกับ “Petya” เพราะ Global Company ขนาดใหญ่ต่างโดนกันถ้วนหน้า ไม่ว่าจะเป็นบริษัทยักษ์ใหญ่อย่าง WPP, Mondelez, DPA Piper หรือแม้แต่บริษัทขนส่งระดับโลกอย่าง Mersk […]

LG ประเทศเกาหลีใต้ถูก ไวรัสWannaCry โจมตี สั่งปิดระบบ 2 วัน

เคสของ WannaCry Ransomware ยังไม่จบ เมื่อ LG ผู้ผลิตอุปกรณ์อิเล็กทรอนิกส์ชื่อดังของโลกออกแถลงการณ์ยืนยัน ระบบบางส่วนถูก WannaCry โจมตี ต้องปิดระบบเป็นเวลา 2 วันเพื่อป้องกันการแพร่กระจาย LG ออกแถลงการณ์ว่า พบ Ransomware เข้าโจมตีระบบ Self-service Kiosk ในศูนย์ให้บริการแห่งหนึ่งในประเทศเกาหลีใต้ จากการตรวจสอบพบว่าเป็น WannaCry Ransomware ชื่อดังที่แพร่กระจายตัวไปยังระบบคอมพิวเตอร์ทั่วโลกกว่า 300,000 เครื่องในช่วงเดือนพฤษภาคมที่ผ่านมา ส่งผลให้องค์กรและหน่วยงานขนาดใหญ่ ไม่ว่าจะเป็น NHS, Honda, Merck (สหรัฐฯ) ต้องหยุดการทำงานชั่วคราว “พวกเราได้ทำการวิเคราะห์โค้ดแปลกปลอมที่ก่อให้เกิดความล่าช้าในศูนย์ให้บริการบางแห่งในวันที่ 14 สิงหาคมที่ผ่านมา โดยอาศัยความเชื่อเหลือจาก KISA (Korea Internet & Security Agency) และยืนยันว่ามีสาเหตุมาจาก Ransomware และจากรายงานของ KISA สามารถระบุได้ว่า Ransomware นั้นคือ WannaCry” — โฆษกจาก LG ระบุ […]