fbpx Skip to content

Category: Security

ransomware โจมตี

Cloudflare เผย Ransomware โจมตีมากขึ้นอย่างที่ไม่เคยเกิดขึ้นมาก่อน!

Cloudflare ผู้ให้บริการความปลอดภัยทางไซเบอร์ สังเกตเห็นว่าไม่กี่เดือนที่ผ่านมาลูกค้าเจอกับภัยคุกคามเพิ่มขึ้น หลังจาก Colonial Pipeline บริษัทท่อส่งน้ำมันรายใหญ่ถูก ransomware โจมตี ทำให้บริษัทหยุดการดำเนินงานในบางส่วน อย่างไรก็ตามทาง Colonial Pipeline ออกมากล่าวว่าจะเร่งกู้การให้บริการให้เสร็จสิ้นภายในสุดสัปดาห์นี้   ทั้งนี้กลุ่มแฮกเกอร์ที่โจมตี Colonial Pipeline เป็นกลุ่มแฮกเกอร์ที่ค่อนข้างใหม่ รู้จักกันในชื่อ DarkSide ซึ่งด้าน Cloudflare เผยว่ากลุ่มแฮกเกอร์อาจไม่รู้ตัว ว่าเวลานี้รัฐบาลทั่วโลกกำลังคิดที่จะปราบปรามเหตุการณ์ด้าน cybersecurity อยู่   ลูกค้าของ Cloudflare ถูกโจมตีมากขึ้นเรื่อย ๆ     นอกจากนี้ยังเผยด้วยว่าในช่วงหกเดือนที่ผ่านมา ลูกค้าของ Cloudflare ถูกโจมตีมากขึ้นเรื่อย ๆ และขณะนี้โลกกำลังประสบกับปัญหา cybersecurity activity จำนวนมากอย่างที่ไม่เคยเกิดขึ้นมาก่อน   เหตุการณ์การแฮก SolarWinds ซึ่งส่งผลกระทบต่อหน่วยงานรัฐบาลของสหรัฐอเมริกาและบริษัทเทคโนโลยีรายใหญ่ เป็นหนึ่งเหตุการณ์ด้าน cybersecurity ที่เห็นได้ชัดเจนที่สุด ซึ่งเกิดขึ้นในช่วงไม่กี่เดือนที่ผ่านมา เหตุการณ์ดังกล่าวเผยแพร่สู่สาธารณะในเดือนธันวาคม และตั้งแต่นั้นมาสหรัฐฯ ก็กล่าวหาว่ารัสเซียมีแนวโน้มที่จะอยู่เบื้องหลังเหตุการณ์เหล่านี้   หุ้นของ Cloudflare ลดลงประมาณ 9%     อย่างไรก็ตาม หุ้นของ Cloudflare ได้ลดลงประมาณ 9% ในปีนี้ แม้ว่าสต็อกจะยังคงเพิ่มขึ้นมากกว่า 160% ในช่วง 12 เดือนที่ผ่านมา ด้าน David Kennedy อดีตแฮกเกอร์ของ NSA ซึ่งปัจจุบันเป็นผู้ก่อตั้งและเป็นซีอีโอของบริษัท TrustedSec ได้เผยว่าระดับการโจมตีของ ransomware ในตอนนี้นั้นน่าเป็นห่วง   ซึ่งบริษัทเหล่านั้นก็มีเพียงทางออกเดียวคือต้องจ่ายค่าไถ่เพื่อกู้ข้อมูลของธุรกิจคืน อีกอย่างส่วนใหญ่บริษัทที่ถูก ransomware โจมตีมักจะเป็นธุรกิจขนาดใหญ่ที่มีมูลค่าหลายร้อยล้านดอลลาร์ และกลุ่มแฮกเกอร์ก็ไม่ได้มีเพียงแค่กลุ่ม DarkSide เท่านั้น แต่ยังมีกลุ่มแฮกเกอร์อื่น ๆ ที่ใช้ ransomware ในการทำรายได้หลายร้อยล้านดอลลาร์ต่อปีอีกด้วย   อย่างไรก็ตาม ไม่มีทีท่าว่าการโจมตีของ ransomware จะลดลงได้ง่าย

อัปเดต 7 วิธีป้องกันบริษัทจากการโจมตีของ ransomware

ในช่วงไม่กี่ปีที่ผ่านมาวิธีการที่อาชญากรไซเบอร์ใช้ในการโจมตี ransomware ได้เปลี่ยนไปมาก โดยวิธีการที่ใช้มากที่สุดคือการกระจาย encrypted files และในตอนนี้ก็ดูเหมือนว่าการโจมตีจะทวีความรุนแรงมากกว่าเดิม   การโจมตีในรูปแบบใหม่นี้ อาชญากรไซเบอร์จะทำการเช็กข้อมูลของเหยื่ออย่างละเอียด จากนั้นก็ค้นข้อมูลจำพวก business data ของเหยื่อเพิ่มเติม ซึ่งหากคุณไม่อยากให้บริษัทของคุณเป็นหนึ่งในเหยื่อรายต่อไป ทาง ProSpace ก็ได้มีเคล็ดลับในการป้องกันบริษัทของคุณจากการโจมตีของ ransomware มาอัปเดตให้ได้รู้กัน:     ติดตั้งเฉพาะแอปพลิเคชันจากแหล่งที่เชื่อถือได้ เช่น จากเว็บไซต์ official เท่านั้น Backup ไฟล์อยู่เสมอ เพื่อที่ว่าคุณจะได้มีข้อมูลสำรองในกรณีที่ไฟล์ข้อมูลสูญหาย (เช่น จากการโจมตีของมัลแวร์ หรืออุปกรณ์พัง) อย่าลืมจัดเก็บไฟล์ไว้ในที่ที่ปลอดภัย รวมถึงเก็บไว้ในระบบคลาวด์ด้วย เพื่อเสริมการป้องกันที่มากขึ้น ให้ความสำคัญกับการเรียนรู้เรื่องดิจิทัลภายในบริษัทมากขึ้น ตัวอย่างเช่น การ training เรื่อง cybersecurity ให้กับพนักงาน Install โปรแกรม security ทั้งหมดทันทีที่มีการให้อัปเดตใหม่ เพราะการอัปเดต operating system และซอฟต์แวร์อยู่เสมอจะช่วยลดความเสี่ยงจากช่องโหว่ต่าง ๆ ได้ หมั่นตรวจสอบ cybersecurity ของ networks บริษัทอยู่เสมอ และถ้าเจอจุดที่ต้องแก้ไขหรือคิดว่ามีช่องโหว่ก็ให้รีบแก้ไขโดยเร็ว เปิดใช้งาน ransomware protection ที่จุด endpoint ทั้งหมด การโจมตี ransomware เป็นความผิดทางอาญา หากคุณตกเป็นเหยื่ออย่าจ่ายค่าไถ่เด็ดขาด เพราะไม่มีอะไรรับประกันได้เลยว่าคุณจะได้รับข้อมูลคืนไหม แถมยังจะไปกระตุ้นให้อาชญากรทำแบบนี้กับเหยื่อรายอื่น ๆ อีก ถ้าคุณตกเป็นเหยื่อให้แจ้งไปที่หน่วยงานที่เกี่ยวข้อง หรือแจ้งตำรวจไว้ก่อนเป็นดีที่สุด   อ่านบทความที่เกี่ยวข้อง: Ransomware คืออะไร ทำงานอย่างไร พร้อมวิธีแก้ไข   ที่มา: itnewsafrica.com   ติดต่อเจ้าหน้าที่ เพื่อปรึกษาหรือขอคำแนะนำด้าน Cybersecurity    

ทำไมดู Netflix บางเรื่องในต่างประเทศไม่ได้ เกี่ยวข้องอะไรกับ VPN?

เว็บไซต์สตรีมมิ่งจำนวนมากใช้วิธี Virtual Private Network หรือ VPN ในการรักษาความปลอดภัยให้กับเว็บไซต์ เพื่อตรวจจับคนที่พยายามเข้าถึงเว็บไซต์โดยไม่ได้รับอนุญาต ซึ่ง VPN ที่ดีจะช่วยปกป้องความเป็นส่วนตัวทางออนไลน์ โดยการ encrypting กิจกรรมทางอินเทอร์เน็ตและ rerouting ผ่านเซิร์ฟเวอร์ส่วนตัวซึ่งมักอยู่ในตำแหน่งอื่น   Streaming VPN คืออะไร?   ด้วยความสามารถของ Streaming VPN คุณจะสามารถเข้าถึงเนื้อหาสตรีมมิ่งที่อยู่ในประเทศนั้น ๆ ได้เท่านั้น หากคุณออกนอกประเทศนั้นไป คุณก็ไม่สามารถรับชมสตรีมมิ่งของประเทศก่อนหน้านี้ที่คุณไปอยู่ได้  ตัวอย่างเช่น BBC iPlayer ที่ให้บริการสำหรับผู้ใช้ที่อยู่ในประเทศอังกฤษเท่านั้น ซึ่งสิ่งนี้เป็นเพราะการทำงานของ VPN ที่จะทำให้คุณสามารถเข้าถึง streaming library ทั้งหมดของ iPlayer ขณะที่อยู่ในประเทศอังกฤษเท่านั้น     ทำไมเว็บไซต์สตรีมมิ่ง เช่น Netflix และ BBC iPlayer ต้องใช้ VPN บล็อกผู้ใช้? Licensing agreements (ข้อตกลงการให้สิทธิ์ใช้งาน)   เหตุผลที่พบได้บ่อยที่สุดที่เว็บไซต์สตรีมมิ่งนำ VPN มาบล็อกผู้ใช้ นั่นก็เป็นเพราะข้อตกลงเรื่องใบอนุญาตและเนื้อหาในการออกอากาศของเจ้าของลิขสิทธิ์ อย่างไรก็ตาม ปัจจุบันก็มีเว็บไซต์จำนวนมากที่สร้างเนื้อหาต้นฉบับของตัวเองขึ้นมาแทน   นอกจากนี้แอปสตรีมบนแพลตฟอร์มต่าง ๆ ส่วนใหญ่ยังผลิตเนื้อหาที่เป็นของตัวเองได้น้อยอยู่ เช่น Netflix, Hulu หรือ Amazon และยังต้องเจรจาเพื่อขออนุญาตใช้สิทธิ์เอาภาพยนตร์ รายการโทรทัศน์ และรายการอื่น ๆ มาลงในแพลตฟอร์มของตนด้วย     Licensing agreements แตกต่างกันไปตามแต่ละประเทศ   ข้อตกลงเหล่านี้ค่อนข้างมีราคาสูง โดยเฉพาะอย่างยิ่งที่ตอนนี้มีบริการสตรีมมิ่งออกมาเป็นจำนวนมาก และต่างแข่งขันกันเพื่อหาสมาชิกเข้ามาสมัครใช้แอปของตน ด้วยการนำเสนอเนื้อหาคุณภาพที่มีความหลากหลาย   Licensing agreements แตกต่างกันไปตามแต่ละประเทศ เนื่องจากรายการโทรทัศน์และภาพยนตร์บางรายการมีมูลค่าสูงในบางประเทศ ตัวอย่างเช่น รายการโทรทัศน์ภาษาเยอรมันจะดึงดูดผู้ชมในเยอรมนีมากกว่าในสหรัฐอเมริกา ดังนั้น licensing agreement ของเยอรมนีจึงมีราคาแพงกว่าประเทศอื่น     แพลตฟอร์มสตรีมมิ่งแตกต่างกันในแต่ละประเทศ
Dark web คือ

Dark web คืออะไร? Deep web และ Surface web อันตรายไหม?

Dark web หรือเว็บมืด เป็นกลุ่มของเว็บไซต์ที่ซ่อนตัวอยู่ในโลกอินเทอร์เน็ต และสามารถเข้าถึงได้โดยเว็บเบราว์เซอร์เฉพาะเท่านั้น สร้างขึ้นมาเพื่อกิจกรรมทางอินเทอร์เน็ต โดยจะไม่เปิดเผยตัวตนและมีความเป็นส่วนตัว ซึ่ง Dark web มีทั้งถูกกฎหมายและผิดกฎหมาย แต่ส่วนใหญ่คนจะใช้เพื่อหลีกเลี่ยงการตรวจจับจากรัฐบาล และก็เป็นที่รู้กันดีว่าถูกนำไปใช้เพื่อกิจกรรมที่ผิดกฎหมายซะมากกว่า   Dark web, Deep web และ Surface web คืออะไร?   ปัจจุบันอินเทอร์เน็ตมีหน้าเว็บ ฐานข้อมูล และเซิร์ฟเวอร์หลายล้านหน้าและทำงานตลอด 24 ชั่วโมง บางครั้งอินเทอร์เน็ตก็ถูกเรียกว่า “visible” หรือเว็บที่มองเห็นได้ (หรือ Aka surface web และ Open web) ซึ่งเป็นเว็บไซต์ที่สามารถค้นหาบน Search engines ได้ เช่น Google และ Yahoo อย่างไรก็ตามมีอีกหลายคำศัพท์ที่หมายถึง ‘เว็บที่มองไม่เห็น’ (Non-Visible Web) ซึ่งเดี๋ยวเราจะพาไปรู้จักกันต่อไป     Surface web หรือ Open web คืออะไร?   Surface web หรือ Open web คือชื่อเรียกของเว็บไซต์ที่ “มองเห็นได้” หรือ “visible” เว็บ ซึ่งทางสถิติแล้วเว็บไซต์กลุ่มนี้มีเพียง 5% ของเว็บไซต์บนอินเทอร์เน็ตทั้งหมด และถ้าเปรียบเทียบกับภูเขาน้ำแข็งแล้ว เว็บพวกนี้ก็เหมือนส่วนยอดภูเขาน้ำแข็งที่โผล่พ้นน้ำออกมา   ปกติแล้วเว็บไซต์ทั่วไปสามารถเข้าถึงได้ผ่านเบราว์เซอร์ยอดนิยม เช่น Google Chrome, Internet Explorer และ Firefox ซึ่งเว็บไซต์พวกนี้มักจะลงท้ายด้วย “. com” และ “.org” รวมถึงสามารถค้นหาได้ง่ายด้วย Search Engines ยอดนิยมอื่น ๆ   Surface web เป็นเว็บที่หาได้ง่าย เนื่องจาก search
Call of Duty

ผู้เล่น ‘Call of Duty’ ระวังไว้ เพราะมัลแวร์อาจซ่อนตัวอยู่ในสูตรโกง!

นักวิจัยของ Activision พบแอปพลิเคชัน ‘dropper’ ในสูตรโกงเกมยอดนิยมอย่าง ‘Call of Duty’ ที่สามารถติดตั้งมัลแวร์จากระยะไกลลงในคอมพิวเตอร์ของผู้เล่นได้ โดยมัลแวร์ที่พบแฝงตัวอยู่ในโฆษณาสูตรโกงเกมบนฟอรัมของเว็บไซต์ชื่อดัง   ทั้งนี้หากผู้เล่นดาวน์โหลดสูตรโกงเกมตัวนี้ ก็จะทำให้ไปติดตั้งแอปพลิเคชัน Dropper หรือที่เรียกว่า Remote Access Trojan (RAT) ทันที ซึ่งโทรจันตัวนี้สามารถติดตั้งซอฟต์แวร์ที่เป็นอันตรายลงในคอมพิวเตอร์ของเหยื่อได้ อ่านแล้วก็ดูเหมือนว่าแฮ็กเกอร์รายนี้จะทำให้วิธีการแฮ็กใหม่นี้เป็น  “newbie-friendly” ในการแจกมัลแวร์ RAT ตั้งแต่มีนาคม 2021 เลยทีเดียว     ดาวน์โหลดแบบ high-level system access?   และการที่ผู้เล่นจะใช้สูตรโกงเกมนี้ได้ ผู้เล่นจะต้องทำการ disable malware protection ก่อน โดยอ้างว่าเพื่อเป็นการดาวน์โหลดแบบ high-level system access ทำให้วิธีนี้เป็นวิธีการกระจายมัลแวร์ที่ยอดเยี่ยมของบรรดาแฮกเกอร์ เนื่องจากผู้เล่นก็คิดไปว่าการจะใช้สูตรโกงนั้นจะต้องมีวิธีการแบบลับ ๆ หน่อยในการติดตั้ง ดังนั้นวิธีนี้จึงเป็นการเปิดช่องให้มัลแวร์เข้ามาใน computer system ได้ง่าย ๆ   อย่างไรก็ตาม การวิจัยของ Activision ในครั้งนี้พบมัลแวร์อยู่เพียงแค่ชนิดเดียว แต่เป็น PSA ที่สำคัญสำหรับ PC gamers อย่างมาก เพราะมันหมายความว่าสูตรโกงของพวกเขาสามารถทำให้ไวรัสและมัลแวร์เข้าคอมได้โดยง่าย     Dropper โจมตีได้ทุกรูปแบบ   ทั้งนี้แอปพลิเคชัน ‘dropper’ นี้มีชื่อว่า “Cod Dropper v0.1” ส่วนใหญ่มักจะแพร่กระจายอยู่ใน hacking forums และเมื่อผู้ใช้ได้มีการติดตั้งในระบบแล้ว ไอ้เจ้า Dropper นี้ก็จะไปแพร่ใส่ซอฟต์แวร์อื่น ๆ ซึ่งหมายความว่าการแฮ็กโดยวิธีนี้สามารถโจมตีได้ทุกรูปแบบ อย่างน้อย ๆ มันก็แพร่กระจาย Warzone dropper บางส่วน และยังพยายามจะใช้ GPU ของเหล่าเกมเมอร์เพื่อขุด cryptocurrency อีกด้วย   นอกจากนี้ นักวิจัยของ
บริษัท Tesla

แฮ็กเกอร์รัสเซียถูกตัดสินให้มีความผิด หลังเสนอ Bitcoin 1 ล้านดอลลาร์ให้พนักงาน Tesla

ชาวรัสเซียที่พยายามแฮ็กและปล่อยมัลแวร์เข้าบริษัท Tesla Inc. เมื่อปีที่แล้ว ได้ถูกสหรัฐฯ ตัดสินว่ามีความผิด และอาจต้องโทษจำคุกนานถึง 10 เดือน ซึ่งชาวรัสเซียรายนี้มีชื่อว่า Egor Igorevich Kriuchkov ได้สารภาพว่าสมรู้ร่วมคิดและจงใจสร้างความเสียหายให้กับ protected computer ของบริษัท Tesla Inc. จริง   ทั้งนี้ได้มีการฟ้องร้องคดีของ Kriuchkov ที่รัฐบาลกลางเนวาดาเมื่อเดือนสิงหาคมปี 2020 และ Kriuchkov ได้ถูกกล่าวหาว่าเสนอสินบน 1 ล้านดอลลาร์เป็น Bitcoin (CRYPTO: BTC) ให้กับพนักงานของบริษัทหนึ่งในเนวาดา (ซึ่งตอนแรกระบุว่าเป็นบริษัท A) เพื่อให้ช่วยแทรกมัลแวร์เข้าไปในระบบของบริษัท     พนักงานของ Tesla แฮกเองเลย   ด้าน Elon Musk ซีอีโอของ Tesla ได้ยืนยันในภายหลังว่าผู้ผลิตรถยนต์ของบริษัท เป็นผู้พยายามแฮ็กระบบของบริษัทเอง โดยมีชาวรัสเซียและผู้สมรู้ร่วมคิดอยู่เบื้องหลัง   Kriuckkov กล่าวว่าในการแฮกที่วางแผนไว้คือ จะมีข้อความส่งไปในคอมพิวเตอร์ของทุกคนในบริษัท ว่าโรงงานข้างนอกปฏิเสธที่จะให้บริการกับบริษัท Tesla หลังจากนั้นเขาก็จะเข้ายึดเซิร์ฟเวอร์ แล้วทำการเรียกเงินค่าไถ่จาก Tesla     บทเรียนครั้งสำคัญให้กับบริษัทต่าง ๆ   การวางแผนที่จะทำการละเมิดข้อมูล (Data Breach) ของบริษัท Tesla ในครั้งนี้ แสดงให้เห็นว่าบริษัทต่าง ๆ ควรต้องมีมาตรการเพื่อที่จะจัดการกับภัยคุกคามของ cyberattack ที่นับวันจะทวีความรุนแรงมากขึ้น ท่ามกลางการแพร่ระบาดของโรคโควิด นอกจากนี้ยังทำให้เกิดคำถามที่ว่า แฮกเกอร์สามารถนำข้อมูลของบริษัทต่าง ๆ รวมถึง Tesla มาเป็นข้อต่อรองเพื่อแลกกับเงินค่าไถ่ได้อย่างไร?   อย่างไรก็ตามเมื่อต้นเดือนที่ผ่านมา Tesla เป็นหนึ่งในบริษัทที่ได้รับผลกระทบจากการละเมิดกล้องวงจรปิด (Security-Camera Breach ) ครั้งใหญ่ โดยแฮกเกอร์สามารถเข้าดูภาพสดจากโรงงานและคลังสินค้าของผู้ผลิตรถยนต์ไฟฟ้าอย่าง Tesla ได้อย่างง่ายดาย   อ่านบทความที่เกี่ยวข้อง:  เอาแล้ว! Exchange Servers โดน
Ransomware คือ

Ransomware คืออะไร ทำงานอย่างไร พร้อมวิธีแก้ไข

ล่าสุด Ransomware ยังคงเป็นภัยคุกคามร้ายแรงอันดับหนึ่งของโลกไซเบอร์ วันนี้ ProSpace จะพาไปรู้จักมัลแวร์ที่ชื่อแรนซัมแวร์ การเข้ารหัสไฟล์ (Encryption) และวิธีการทำงานของมันอย่างละเอียดกัน   Ransomware คืออะไร   Ransomware คือมัลแวร์ชนิดหนึ่งที่เข้ารหัสไฟล์ของเหยื่อแล้วขโมยข้อมูลของเหยื่อไป จากนั้นผู้โจมตีก็จะเรียกค่าไถ่จากเหยื่อ เพื่อให้เหยื่อจ่ายเงินแลกกับการได้ข้อมูลคืน โดยส่วนใหญ่แล้วเหยื่อจะยอมจ่ายเงินเพื่อขอข้อมูลคืน และค่าไถ่จะอยู่ระหว่างไม่กี่พันบาทจนถึงหลักหมื่น หรือจ่ายในรูปแบบของ Bitcoin     วิธีการทำงานของ Ransomware   Ransomware จำนวนมากสามารถเข้าถึงคอมพิวเตอร์ได้ง่าย ๆ และหนึ่งในวิธีที่ใช้เข้าถึงระบบมากที่สุดคือการใช้ phishing spam (Phishing spam คือไฟล์อะไรก็ตามที่แนบมากับอีเมลที่ส่งหาเหยื่อ) ปลอมตัวเป็นอีเมลที่น่าเชื่อถือ เมื่อเหยื่อดาวน์โหลดและเปิดไฟล์ที่แนบมาแล้ว ผู้โจมตีก็สามารถเข้าครอบครองคอมพิวเตอร์ของเหยื่อได้เลย โดยเฉพาะอย่างยิ่งหากผู้โจมตีใช้เครื่องมือ social engineering ที่หลอกลวงเหยื่อเพื่อจะได้เข้าไปถึง administrative access นอกจากนี้ ransomware ยังมีในรูปแบบอื่น ๆ อีก เช่น NotPetya ที่ใช้ประโยชน์จากช่องโหว่ security ในการเข้าไปในคอมพิวเตอร์ของเหยื่อ โดยไม่จำเป็นต้องหลอกลวงเหยื่อเลย   มัลแวร์สามารถทำอะไรกับคอมพิวเตอร์ของเหยื่อได้หลายอย่างเลย และวิธีที่พบบ่อยที่สุดคือการเข้ารหัสไฟล์ของผู้ใช้ ส่วนการที่จะถอดรหัสได้นั้นก็มีเพียงผู้โจมตีเท่านั้นที่ทำได้ ในกรณีที่ผู้ใช้โดนมัลแวร์โจมตี ระบบจะขึ้นข้อความประมาณว่า “ตอนนี้คุณไม่สามารถเข้าถึงไฟล์ได้แล้ว และถ้าจะให้ถอดรหัสให้คุณต้องจ่ายเงินเป็น Bitcoinให้เรา”     มัลแวร์บางรูปแบบผู้โจมตีอาจอ้างว่าเป็นหน่วยงานบังคับใช้กฎหมาย เพื่อที่จะระงับการใช้คอมพิวเตอร์ของเหยื่อ โดยอ้างว่าพบสื่อลามกหรือซอฟต์แวร์ที่ละเมิดลิขสิทธิ์ และบอกให้เหยื่อชำระ “ค่าปรับ” อีกทั้งวิธีนี้ยังมีความเสี่ยงน้อยที่เหยื่อจะไปแจ้งความ แต่การโจมตีส่วนใหญ่มักจะไม่ใช้วิธีนี้ นอกจากนี้ยังมีมัลแวร์ในรูปแบบอื่นอีกที่เรียกว่า Leakware หรือ Doxware ซึ่งผู้โจมตีจะขู่เหยื่อว่าจะเปิดเผยข้อมูลสำคัญจากฮาร์ดไดรฟ์ของเหยื่อ เว้นแต่ว่าเหยื่อจะจ่ายค่าไถ่ให้ก่อน อย่างไรก็ตามวิธีนี้เป็นวิธีที่ยุ่งยากสำหรับผู้โจมตี เพราะต้องค้นหาข้อมูลมาเป็นข้อเสนอ ดังนั้นการเข้ารหัส Ransomware จึงเป็นรูปแบบที่พบมากที่สุด   ใครคือเป้าหมายของ Ransomware   ผู้โจมตีมีหลายวิธีในการเลือกเป้าหมายที่จะโจมตี และบางครั้งมันก็เป็นเรื่องของโอกาสด้วย ตัวอย่างเช่นผู้โจมตีกำหนดเป้าหมายเป็นมหาวิทยาลัย เพราะมีทีมรักษาความปลอดภัยน้อย และมีเหยื่อมากมายที่ใช้การแชร์ไฟล์ ทำให้ง่ายต่อการเจาะเข้าระบบของพวกเขา     ในทางกลับกันบางองค์กรก็ดึงดูดผู้โจมตีเอง เพราะดูเหมือนจะจ่ายค่าไถ่ได้เร็ว ตัวอย่างเช่นหน่วยงานราชการหรือองค์กรทางการแพทย์ที่มักจะต้องใช้ไฟล์ข้อมูลอยู่ตลอดเวลา รวมถึงบริษัทกฎหมาย
Exchange Servers

เอาแล้ว! Exchange Servers โดน Ransomware จากแฮกเกอร์ชาวจีนโจมตีเป็นครั้งแรก

ตอนนี้หลายองค์กรที่ใช้ Microsoft Exchange คงจะปวดหัวกันไปตาม ๆ กัน เพราะล่าสุดพบ ransomware ตัวใหม่ (แบบที่ไม่เคยเห็นมาก่อน) บนเซิร์ฟเวอร์ Microsoft Exchange ที่มีช่องโหว่แล้ว หลังแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลจีนโจมตี Microsoft Exchange เพียงไม่กี่เดือนที่ผ่านมา   ทั้งนี้ Microsoft รายงานว่าพบ ransomware ตัวใหม่บนเซิร์ฟเวอร์เมื่อวันพฤหัส โดย ransomware ตัวนี้มีชื่อว่า Ransom: Win32 / Doejocrypt.a หรืออีกชื่อคือ DearCry     จาก WebShells ไปจนถึง Ransomware   ด้านบริษัท Kryptos Logic เผยว่า เมื่อวันศุกร์ที่ผ่านมาพบเซิร์ฟเวอร์ที่มีการติดตั้ง ransomware โดยกลุ่มแฮกเกอร์นามว่า Hafnium แล้ว ซึ่ง ransomware ที่พบนั้นก็คือตัวที่ชื่อว่า DearCry นอกจากนี้ Kryptos Logic ยังเผยอีกว่าแฮกเกอร์กลุ่มนี้ยังได้เปิดเผยไฟล์ Webshells* ต่อสาธารณชนถึง 6,970 รายการอีกด้วย   *Webshell คือไฟล์ที่สามารถใช้เข้าถึงหรือส่งคำสั่งของระบบปฏิบัติการได้โดยตรงผ่านหน้าเว็บไซต์ ผู้ประสงค์ร้ายมักอัปโหลดไฟล์ประเภทนี้ขึ้นมาบนเว็บเซิร์ฟเวอร์เพื่อใช้เป็นช่องทางควบคุมสั่งการหรือขยายการโจมตีไปยังเครื่องคอมพิวเตอร์อื่น ๆในเครือข่าย     Ransomware ถูกติดตั้งแบบ Manually   อย่างไรก็ตาม ผลกระทบจากการปล่อยไฟล์ Webshells คือใครก็ตามที่รู้แม้แค่ URL เดียวของไฟล์ Webshells ก็สามารถเข้าควบคุมเซิร์ฟเวอร์ได้แล้ว อีกทั้งแฮกเกอร์กลุ่มนี้ก็ยังใช้ไฟล์จาก WebShells เพื่อติดตั้ง ransomware อีกด้วย (WebShells ได้ถูกติดตั้งครั้งแรกโดยกลุ่มแฮกเกอร์ Hafnium ที่ได้รับการสนับสนุนจากประเทศจีน)   Kryptos Logic ยังบอกด้วยว่า การโจมตีครั้งนี้เป็นแบบ “human operated” ซึ่งหมายความว่าพวกแฮกเกอร์ได้ติดตั้ง ransomware ในเซิร์ฟเวอร์ของ Exchange
Cyber Security

Cyber Security มีอะไรบ้าง ช่วยเรื่องความปลอดภัยทางไซเบอร์ได้ยังไง

Cyber security หรือการรักษาความปลอดภัยทางไซเบอร์ คือการช่วยป้องกันระบบต่าง ๆ ที่เชื่อมต่อกับอินเทอร์เน็ต ไม่ว่าจะเป็นคอมพิวเตอร์  ฮาร์ดแวร์ ซอฟต์แวร์ และข้อมูลต่าง ๆ จาก cyber attacks หากไม่มี security plan  แฮกเกอร์ก็สามารถเข้าถึง computer system ของเรา และใช้ personal information ของเราในทางที่ผิด รวมถึงข้อมูลของลูกค้า และข้อมูลทางธุรกิจด้วย   ดูเหมือนว่าตอนนี้ทุกอย่างต้องอาศัยอินเทอร์เน็ตและคอมพิวเตอร์ทั้งนั้น ไม่ว่าจะเป็นการใช้เพื่อความบันเทิง การสื่อสาร การคมนาคม การแพทย์ การชอปปิง ฯลฯ และแม้แต่สถาบันทางการเงินก็ดำเนินธุรกิจทางออนไลน์ไปแล้ว ดังนั้นการตระหนักว่าโลกส่วนใหญ่พึ่งพาอินเทอร์เน็ตก็ควรกระตุ้นให้เราถามตัวเองว่า …   ชีวิตของเราต้องพึ่งพาอินเทอร์เน็ตมากแค่ไหน?   Personal information ของเราถูกจัดเก็บอยู่ในโลกออนไลน์มากแค่ไหน? โจรสามารถเข้าถึงธุรกิจของเราผ่าน networks ได้มากแค่ไหน? โจรสามารถเข้าถึงข้อมูลของลูกค้าผ่าน networks ได้มากน้อยเพียงใด?     และเพราะการพึ่งพาคอมพิวเตอร์ที่สูงเช่นนี้ โอกาสที่จะเกิด cybercrime ในธุรกิจของเราจึงมีสูงมาก และอาจเป็นอันตรายต่อตัวเรา ธุรกิจ พนักงาน และลูกค้าของเราได้ อีกทั้งหากปราศจากความปลอดภัย ธุรกิจของเราก็เสมือนกับวิ่งอยู่บนขอบเหว ที่โจรทางไซเบอร์จะคว้าธุรกิจของเราลงเหวเมื่อไหร่ก็ได้ ลองมาดู Cyber Security ประเภทต่าง ๆ ที่เราควรรู้ บทความนี้จะช่วยให้เราสร้างรากฐานที่มั่นคงสำหรับ security strategy ที่แข็งแกร่งได้   ประเภทของ Cyber Security มีอะไรบ้าง   Critical infrastructure security หรือการรักษาความปลอดภัยของโครงสร้างพื้นฐาน   Critical infrastructure security ประกอบด้วย cyber-physical systems ที่สังคมสมัยใหม่ต้องพึ่งพา ตัวอย่างของ critical infrastructure   โครงข่ายไฟฟ้า (electricity grid) น้ำบริสุทธิ์ ไฟจราจร ศูนย์การค้า โรงพยาบาล

ช่องโหว่ Zero-day ของ Microsoft Exchange ถูกใช้โจมตีรัฐบาลท้องถิ่นสหรัฐฯ

จากการตรวจสอบช่องโหว่ Zero-day* ของ Microsoft Exchange เมื่อเร็ว ๆ นี้ พบช่องโหว่ 4 ช่องที่ถูกนำไปใช้ในการโจมตีหน่วยงานรัฐบาลท้องถิ่นของสหรัฐฯ โดยเมื่อวันที่ 2 มีนาคม Microsoft เตือนว่ามีช่องโหว่ Zero-day 4 ตัวที่ถูกติดตามจากผู้ไม่หวังดี คือ CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 และ CVE-2021-27065   ทั้งนี้หากใช้ช่องโหว่นี้ในทางที่ผิด เซิร์ฟเวอร์ที่ใช้ซอฟต์แวร์ Exchange Server ปี 2013, 2016 และ 2019 ก็สามารถถูกบุกรุกได้ง่าย ๆ อย่างไรก็ตาม Microsoft ได้แนะนำให้ลูกค้านำแพตช์มาแก้ไขช่องโหว่นี้ในทันที และการเปิดเผยช่องโหว่ Zero-days นี้ ก็ยิ่งทำให้ cyberattackers โจมตีได้ทันทีเช่นเดียวกัน     ผู้ร้ายใช้ช่องโหว่นี้เพื่อเข้าไปปรับ Web Shell   จากรายงานของ Cybersecurity team ของ FireEye* พบว่ามีการติดตามการโจมตีสถานที่ต่าง ๆ ที่ละเมิดข้อบกพร่องด้านความปลอดภัยของ Exchange อยู่หลายครั้ง ซึ่งในบรรดาเหยื่อรายล่าสุด ได้แก่ หน่วยงานรัฐบาลท้องถิ่น มหาวิทยาลัย บริษัทวิศวกรรม และผู้ค้าปลีกในสหรัฐอเมริกา   อีกทั้งในเดือนนี้ได้มีการสังเกตเห็นว่า cyberattacker รายหนึ่งได้ใช้ช่องโหว่นี้เพื่อเข้าไปปรับ web shell* บนเซิร์ฟเวอร์ของ Exchange ที่มีช่องโหว่ และเพื่อ “establish persistence และ secondary access” โดยที่ cyberattackers รายนั้นก็พยายามที่จะลบ administrator accounts บนเซิร์ฟเวอร์ของ Exchange อีกด้วย     ผู้ร้ายอาจใช้ช่องโหว่ Exchange Server เข้าถึงกลไกต่าง ๆ   นอกจากนี้การขโมยข้อมูล การบีบอัดข้อมูล