มัลแวร์ใหม่ TodoSwift โจมตี macOS มีความเชื่อมโยงกับกลุ่มแฮกเกอร์ชาวเกาหลีเหนือ

News

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้พบมัลแวร์สายพันธุ์ใหม่ใน macOS ชื่อว่า TodoSwift พวกเขาอ้างว่ามีลักษณะร่วมกันกับซอฟต์แวร์อันตรายที่รู้จักซึ่งกลุ่มแฮกเกอร์ในเกาหลีเหนือใช้   Christopher Lopez นักวิจัยด้านความปลอดภัยของ Kandji กล่าวว่า “แอปพลิเคชันนี้มีพฤติกรรมหลายอย่างที่คล้ายกับมัลแวร์ที่เราพบเห็นซึ่งมีต้นกำเนิดในเกาหลีเหนือ (DPRK) โดยเฉพาะตัวการคุกคามที่รู้จักกันในชื่อ BlueNoroff เช่น KANDYKORN และ RustBucket” RustBucket ซึ่งเปิดตัวครั้งแรกในเดือนกรกฎาคม 2023 หมายถึงAppleScript-based backdoor ซึ่งสามารถดึง Next-stage payloads จาก Command-and-control (C2) server ได้   ปลายปีที่แล้ว Elastic Security Labs ยังได้ค้นพบมัลแวร์ของ macOS อีกตัวหนึ่งที่มีชื่อว่า KANDYKORN ซึ่งถูกนำไปใช้ในการโจมตีทางไซเบอร์ที่กำหนดเป้าหมายไปที่วิศวกรบล็อคเชนของ Unnamed cryptocurrency exchange platform ซึ่ง KANDYKORN เป็นระบบที่ส่งผ่านการติดเชื้อหลายขั้นตอนที่ซับซ้อน จึงมีความสามารถในการเข้าถึงและขโมยข้อมูลจากคอมพิวเตอร์ของเหยื่อ นอกจากนี้ยังออกแบบมาเพื่อยุติกระบวนการตามอำเภอใจและดำเนินการคำสั่งบนโฮสต์อีกด้วย ลักษณะทั่วไปที่เชื่อมโยงตระกูลมัลแวร์ทั้งสองเข้าด้วยกันคือการใช้โดเมน linkpc[.]net เพื่อวัตถุประสงค์ C2…

แก๊ง Ransomware กวาดเงินทำลายสถิติ 450 ล้านดอลลาร์ในครึ่งแรกของปี 2024

News

เหยื่อของ Ransomware จ่ายเงินค่าไถ่กว่า 459,800,000 เหรียญสหรัฐให้กับอาชญากรไซเบอร์ในช่วงครึ่งแรกของปี 2024 ซึ่งจะเป็นสถิติใหม่ในปีนี้หากการจ่ายค่าไถ่ยังคงดำเนินต่อไปในระดับนี้ เมื่อปีที่แล้วมีการจ่ายค่าไถ่ Ransomware สูงถึง 1.1 พันล้านเหรียญสหรัฐ ซึ่ง Chainalysis เคยคาดการณ์ไว้จากสถิติที่รวบรวมในช่วงครึ่งแรกของปีเมื่อการโจมตีของ Ransomware มีมูลค่ารวม 449,100,000 เหรียญสหรัฐ   ปัจจุบันสถิติอยู่ในจุดที่สูงกว่าของปี 2023 อยู่ประมาณ 2% จากช่วงเวลาเดียวกัน แม้ว่ามีการดำเนินการบังคับใช้กฎหมายที่สำคัญซึ่งขัดขวางการดำเนินงาน  Ransomware ในรูปแบบบริการขนาดใหญ่ เช่น LockBit ก็ตาม จากรายงานล่าสุดของ Chainalysis พบว่าการเพิ่มขึ้นนี้เกิดจากกลุ่ม Ransomware ที่มุ่งหวังจะรับเงินจำนวนมหาศาล โดยมุ่งเป้าไปที่องค์กรขนาดใหญ่ สร้างการหยุดชะงักที่มีค่าใช้จ่ายสูง และขโมยข้อมูลส่วนบุคคลของลูกค้า   “ปี 2024 เป็นปีที่มีการจ่ายเงินค่าไถ่จากแรนซัมแวร์สูงสุดเป็นประวัติการณ์ โดยอยู่ที่ประมาณ 75 ล้านดอลลาร์ให้กับกลุ่ม Dark Angels Ransomware” ยังไม่ชัดเจนว่าใครเป็นผู้จ่ายเงินค่าไถ่จำนวนมหาศาล 75 ล้านดอลลาร์นี้ แต่ Zscaler ซึ่งเป็นผู้ค้นพบเงินค่าไถ่นี้กล่าวว่าเงินค่าไถ่นี้จ่ายโดยบริษัทแห่งหนึ่งใน…

The Power of Portability: 5 ประโยชน์สำหรับธุรกิจเมื่อใช้ Cloud Native

Articles

ขับเคลื่อนประสิทธิภาพ ลดต้นทุนและเพิ่มความคล่องตัวให้ธุรกิจโดยให้ผู้พัฒนาของคุณสามารถเลือกวิธีและเวลาในการย้าย Workload ไปยัง Data centers และผู้ให้บริการระบบคลาวด์ได้ จับคู่ Workload ที่ใช่ กับ Cloud ที่ใช่ ลยุทธ์ Cloud-native ช่วยให้คุณไม่ต้องพึ่งพาแพลตฟอร์มของผู้ให้บริการ Cloud รายใดรายหนึ่งอีกต่อไป ช่วยให้นักพัฒนาของคุณสามารถย้ายเวิร์กโหลดข้ามสถานที่และผู้ให้บริการ ทำให้ใช้ประโยชน์จากสถาปัตยกรรม Portable Cloud Computing ได้อย่างเต็มที่ เช่น Containers, Microservices และ Serverless   การเลือกสถาปัตยกรรมคลาวด์ควรทำให้เกิดการเติบโตในอนาคต ไม่ใช่เป็นอุปสรรค นักพัฒนาของคุณควรมีความยืดหยุ่นในการพิจารณาสถาปัตยกรรมและการตัดสินใจในการปรับใช้ และย้าย Workload ไปยังผู้ให้บริการคลาวด์ที่จะมอบผลตอบแทนจากการลงทุนที่มีประสิทธิผลมากที่สุด   ต่อไปนี้คือข้อดีทางธุรกิจที่น่าสนใจ 5 ประการจากการนำความสามารถในการเคลื่อนย้ายมาใช้เป็นส่วนหนึ่งของกลยุทธ์ Cloud-native 01 ปรับค่าใช้จ่ายระบบคลาวด์ให้เหมาะสม เนื่องจากการกำหนดราคาและการเรียกเก็บเงินมีความซับซ้อนและสับสน ธุรกิจต่างๆ จึงอาจประสบปัญหาในการทำความเข้าใจและจัดสรรค่าใช้จ่ายด้านคลาวด์ ส่งผลให้คุณอาจต้องจ่ายเงินสำหรับการประมวลผล การจัดเก็บข้อมูล ฐานข้อมูล และบริการอื่นๆ ที่คุณไม่ต้องการหรือไม่เคยใช้เลย ทำให้ยากต่อการจัดสรรงบประมาณอย่างถูกต้อง   คุณยังต้องเสียค่าใช้จ่ายมากขึ้นเมื่อคุณถูกผูกมัดให้อยู่กับผู้ให้บริการระบบคลาวด์เพียงรายเดียวและต้องจ้างผู้เชี่ยวชาญเพื่อฝึกอบรมทักษะให้พนักงานของคุณ ซึ่งเป็นทักษะที่ไม่สามารถใช้กับแพลตฟอร์มระบบคลาวด์อื่นได้…

Ransomware 3AM ขโมยข้อมูลผู้ป่วยของ Kootenai Health กว่า 464,000 ราย

News

Kootenai Health ได้เปิดเผยการละเมิดข้อมูลที่ส่งผลกระทบต่อผู้ป่วยมากกว่า 464,000 ราย หลังจากข้อมูลส่วนบุคคลของพวกเขาถูกขโมยโดยปฏิบัติการ Ransomware 3AM โดย Kootenai Health เป็นผู้ให้บริการด้านการแพทย์ที่ไม่แสวงหากำไรในไอดาโฮ ซึ่งดำเนินการโรงพยาบาลที่ใหญ่ที่สุดในภูมิภาค นำเสนอบริการทางการแพทย์ที่หลากหลาย รวมถึงการดูแลฉุกเฉิน การผ่าตัด การรักษามะเร็ง การดูแลหัวใจ และกระดูกและข้อ   องค์กรกำลังแจ้งให้ผู้ป่วยที่เข้ารับการรักษาที่สถานพยาบาลของตนทราบว่าได้ตรวจพบการโจมตีทางไซเบอร์ในช่วงต้นเดือนมีนาคม 2024 ซึ่งส่งผลให้ระบบไอทีบางส่วนหยุดชะงัก การสืบสวนที่ดำเนินงานอยู่แสดงให้เห็นว่าอาชญากรไซเบอร์สามารถเข้าถึงระบบของ Kootenai โดยไม่ได้รับอนุญาตเมื่อวันที่ 22 กุมภาพันธ์ 2024 ทำให้ผู้ก่อภัยคุกคามมีเวลา 10 วันในการโรมมิ่งเครือข่ายและขโมยข้อมูล การตรวจสอบข้อมูลที่ถูกขโมยไปอันเป็นผลจากการโจมตีนี้เสร็จสิ้นลงเมื่อวันที่ 1 สิงหาคม โดยยืนยันการเปิดเผยข้อมูลดังต่อไปนี้: ชื่อ-นามสกุล วันเกิด หมายเลขประกันสังคม (SSN) ใบขับขี่ หมายเลขประจำตัวประชาชน หมายเลขบันทึกทางการแพทย์ ข้อมูลการรักษาและอาการป่วย การวินิจฉัยทางการแพทย์ ข้อมูลประกันสุขภาพ   Kootenai Health ระบุว่าทางโรงพยาบาลไม่ทราบว่ามีการนำข้อมูลที่ถูกขโมยไปใช้ในทางที่ผิดหรือไม่ นอกจากนี้ ทางโรงพยาบาลยังได้แนบคำแนะนำสำหรับบุคคลที่ได้รับผลกระทบให้สมัครใช้บริการปกป้องข้อมูลประจำตัวเป็นเวลา 12-24 เดือน ขึ้นอยู่กับข้อมูลที่ถูกเปิดเผย…

Better Together: Akamai App & API Protector + API Security

Articles

แนวโน้มการโจมตีทาง Cyber นั้นเพิ่มขึ้นมากปกป้อง API ด้วย Akamai App และ API Protector ใช้แนวทางการป้องกันแบบหลายชั้นเพื่อครอบคลุมความปลอดภัยของ API ผู้ที่สนใจสอบถามข้อมูลเพิ่มเติม สามารถติดต่อทีมงาน WIT ได้ที่

รวมภาพบรรยากาศงานสัมมนา Identity threat prevention essentials in ITDR – Why AD needs protection

Events

ภาพบรรยากาศงานสัมมนาของ WIT ร่วมกับ TruVisor และ Quest Software ในหัวข้อ Identity threat prevention essentials in ITDR – Why AD needs protection ที่จัดขึ้นเมื่อวันที่ 31 กรกฎาคม 2567 ที่ผ่านมา ณ โรงแรม Grande Centre Point Terminal 21 ในงานสัมมนานี้ จะช่วยให้เห็นว่า Quest Security Guardian เป็นเครื่องมือด้านความปลอดภัยของ Active Directory ที่ออกแบบมาเพื่อลดพื้นที่การโจมตีของระบบ มีรูปแบบการทำงานที่เรียบง่ายและช่วยลดการแจ้งเตือนที่เกิดขึ้นบ่อยๆให้ดูง่ายต่อการวิเคราะห์  โดยการจัดลำดับความเสี่ยงที่สามารถถูกโจมตีได้มากที่สุด อีกทั้ง Security Guardian ยังช่วยดูแลเรื่องการกำหนดค่าใน Active Directory ที่อาจจะก่อให้เกิดความเสี่ยงต่อการโดนโจมตี โดยการทำ Benchmark เทียบกับ Best Practices ในอุตสาหกรรม…

แอนดรอยด์สปายแวร์ ‘Mandrake’ ซ่อนตัวอยู่ในแอปบน Google Play ตั้งแต่ปี 2022

News

พบสปายแวร์ ‘Mandrake’ เวอร์ชันใหม่บน Android ใน 5 แอปพลิเคชันที่ถูกดาวน์โหลดไปแล้วกว่า 32,000 ครั้งจาก Google Play ซึ่งเป็นแอปสโตร์อย่างเป็นทางการของแพลตฟอร์ม   Bitdefender ได้ทำการบันทึกข้อมูล Mandrake เป็นครั้งแรกในปี 2020 โดยนักวิจัยได้เน้นย้ำถึงความสามารถในการสอดส่องที่ซับซ้อนของมัลแวร์ตัวนี้ และสังเกตว่ามัลแวร์ตัวนี้ทำงานอย่างแพร่หลายตั้งแต่ปี 2016 เป็นอย่างน้อย ปัจจุบัน Kaspersky รายงานว่า Mandrake เวอร์ชันใหม่ที่มีคุณสมบัติการบดบังและหลบเลี่ยงที่ดีกว่าได้แอบเข้ามาใน Google Play ผ่าน 5 แอปพลิเคชันที่อยู่ในสโตร์ในปี 2022   แอปเหล่านี้ยังคงเปิดใช้งานได้นานอย่างน้อย 1 ปี ในขณะที่แอปสุดท้ายคือ AirFS ซึ่งประสบความสำเร็จสูงสุดในแง่ของความนิยมและทำให้ติดไวรัส ได้ถูกลบออกเมื่อปลายเดือนมีนาคม 2024 AirFS บน Google Play Source: Kaspersky Kaspersky ระบุแอปที่มีมัลแวร์ Mandrake แฝงตัวอยู่ไว้ 5 แอป ดังนี้:…

Gartner Poll เผยองค์กรกว่า 55% ระบุว่าต้องมี AI Board เพื่อควบคุมดูแลการใช้งาน AI ในองค์กร

News

ผลสำรวจล่าสุดของ Gartner, Inc. จากผู้นำผู้บริหารมากกว่า 1,800 คน เปิดเผยว่า 55% ขององค์กรมี AI Board การสำรวจยังระบุด้วยว่า 54% ขององค์กรมีว่ามีหัวหน้าด้าน AI หรือ AI Leader ที่ดูแลจัดกิจกรรมต่างๆ   “ผลการวิจัยแสดงให้เห็นว่าองค์กรต่างๆ ถูกแบ่งแยกว่าจำเป็นต้องมี AI Board หรือไม่” Frances Karamouzis, Distinguished VP Analyst ของ Gartner กล่าว “คำตอบคือใช่ องค์กรต่างๆ จำเป็นต้องมี AI Board เพื่อก้าวข้ามความท้าทายจากหลากหลายสาขาวิชาเพื่อขับเคลื่อนมูลค่าและลดความเสี่ยง อย่างไรก็ตาม ระยะเวลา ขอบเขต และทรัพยากรจะขึ้นอยู่กับบริบทและกรณีการใช้งาน สำหรับบางคน มันเป็นมาตรการระยะสั้นและชั่วคราว สำหรับบางคนมันเป็นการเปลี่ยนแปลงรูปแบบการดำเนินงานในระยะยาว” แบบสำรวจดังกล่าวมีผู้ตอบแบบสอบถาม 1,808 จากผู้ที่เข้าร่วมการสัมมนาผ่านเว็บของ Gartner ในเดือนมิถุนายน 2024 โดยหารือกันว่าผู้นำระดับผู้บริหารสามารถประเมินต้นทุน ความเสี่ยง และมูลค่าของโครงการริเริ่มด้าน…

แฮกเกอร์กำลังใช้ประโยชน์จากปัญหา BSOD ของ CrowdStrike ที่เกิดกับ Windows

News

ตามคำเตือนจากรัฐบาลสหรัฐฯ และผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์หลายราย อาชญากรทางไซเบอร์กำลังฉวยโอกาสจากความวุ่นวายจากการขัดข้องทางเทคโนโลยีครั้งใหญ่ที่เกิดไปทั่วโลกเมื่อวันศุกร์ที่ผ่านมา ด้วยการโปรโมตเว็บไซต์ปลอมที่เต็มไปด้วยซอฟต์แวร์ที่เป็นอันตรายซึ่งออกแบบมาเพื่อแฝงตัวโจมตีเหยื่อ ผู้เชี่ยวชาญด้านความปลอดภัยกล่าวแฮกเกอร์ได้จัดตั้งเว็บไซต์ปลอมขึ้นมาเพื่อดึงดูดผู้คนที่กำลังมองหาข้อมูลหรือวิธีแก้ปัญหาการล่มของไอทีทั่วโลก แต่ในความเป็นจริงแล้วเว็บไซต์ได้รับการออกแบบมาเพื่อรวบรวมข้อมูลของผู้เยี่ยมชมหรือเพื่อละเมิดอุปกรณ์ของพวกเขา   เว็บไซต์หลอกลวงใช้ชื่อโดเมนที่มีคำสำคัญ เช่น CrowdStrike บริษัทรักษาความปลอดภัยทางไซเบอร์ที่อยู่เบื้องหลังการอัปเดตซอฟต์แวร์ที่ผิดพลาดซึ่งนำไปสู่วิกฤติ หรือ “Blue Screen of Death” (BSOD) ซึ่งเป็นสิ่งที่คอมพิวเตอร์ที่ได้รับผลกระทบจากความผิดพลาดของ CrowdStrike จะเกิดขึ้นเมื่อบูตเครื่อง เว็บไซต์ปลอมที่ทำการหลอกลวงอาจพยายามล่อลวงเหยื่อโดยสัญญาว่าจะแก้ไขปัญหา CrowdStrike ได้อย่างรวดเร็วหรือหลอกลวงพวกเขาด้วยข้อเสนอสกุลเงินดิจิทัลปลอม หลังจากการอัปเดตซอฟต์แวร์ CrowdStrike ทั่วโลกขัดข้องเมื่อวันศุกร์ แฮกเกอร์ต่างมองหาโอกาสใช้ประโยชน์จากความสับสนวุ่นวายดังกล่าว ในแถลงการณ์เกี่ยวกับการหยุดทำงาน ของกระทรวงความมั่นคงแห่งมาตุภูมิกล่าวว่าได้เห็น “ผู้คุกคามใช้ประโยชน์จากเหตุการณ์นี้ในส่งฟิชชิ่งและการโจมตีที่เป็นอันตรายอื่น ๆ”   “ให้ระมัดระวังและปฏิบัติตามคำแนะนำจากแหล่งที่ถูกต้องเท่านั้น” แถลงการณ์ที่ออกโดยหน่วยงาน The Department’s Cybersecurity and Infrastructure Security Agency ระบุ CrowdStrike ได้ออกคำแนะนำของตนเองเกี่ยวกับสิ่งที่องค์กรที่ได้รับผลกระทบสามารถทำได้เพื่อตอบสนองต่อปัญหานี้ สถานการณ์ดังกล่าวแสดงให้เห็นว่าเหตุการณ์ข่าวที่มีความผันผวนและมีผลกระทบสูงได้สร้างความเสี่ยงให้กับผู้คนหลายล้านคนอย่างไร เนื่องจากผู้ร้ายพยายามใช้ประโยชน์จากภัยพิบัติ CrowdStrike และในขณะที่องค์กรหลายพันแห่งรีบเร่งเพื่อกู้คืนจากการอัปเดตซอฟต์แวร์ที่ผิดพลาดของ CrowdStrike “มันเป็นรูปแบบมาตรฐานที่เราเห็นหลังจากเหตุการณ์ในระดับนี้” Kenn White นักวิจัยด้านความปลอดภัยอิสระที่เชี่ยวชาญด้านความปลอดภัยเครือข่าย กล่าวในการให้สัมภาษณ์กับ CNN…

แก๊งอาชญากรทางไซเบอร์ FIN7 ใช้เทคนิคในการหลบเลี่ยง EDR และทำให้เกิดการโจมตีแบบอัตโนมัติ

News

FIN7 เป็นกลุ่มผู้สร้างภัยคุกคามที่มีแรงจูงใจทางการเงินมีต้นกำเนิดในรัสเซีย ที่จะพัฒนาและปรับยุทธวิธีของตนเองอย่างต่อเนื่อง แม้จะพ่ายแพ้และถูกจับกุม โดยใช้นามแฝงหลายชื่อเพื่อปกปิดตัวตนที่แท้จริงและสนับสนุนปฏิบัติการก่อการร้าย กลุ่มนี้ซึ่งเปิดใช้งานมาตั้งแต่ปี 2555 โดยเริ่มมุ่งเน้นไปที่มัลแวร์ ณ จุดขายเพื่อการฉ้อโกงทางการเงิน แต่ได้เปลี่ยนไปใช้การดำเนินการแรนซัมแวร์ในปี 2563 โดยร่วมมือกับกลุ่มแรนซัมแวร์ในฐานะบริการที่มีชื่อเสียงและเปิดตัวโปรแกรมอิสระของตัวเอง    FIN7 Underground Operations งานวิจัยใหม่จาก SentinelOne ได้เปิดเผยการเคลื่อนไหวล่าสุดของ FIN7 ในฟอรัมอาชญากรรมใต้ดิน ซึ่งกลุ่มดังกล่าวทำการตลาดเครื่องมือและบริการของตนภายใต้นามแฝงปลอมต่างๆ ในบรรดาเครื่องมือเหล่านี้ กลุ่มนี้ขายเครื่องมือเฉพาะทางที่มีชื่อว่า AvNeutralizer (หรือที่รู้จักในชื่อ AuKill) เป็นตัวที่โดดเด่นที่สุด ซึ่งออกแบบมาเพื่อปิดการใช้งานโซลูชันความปลอดภัยส่วนใหญ่ ที่มา:sentinelone.com โฆษณาสำหรับเครื่องมือ AvNeutralizer ปรากฏในฟอรัมต่างๆ หลายแห่งภายใต้ชื่อผู้ใช้ต่างกัน โดยขายในราคาตั้งแต่ 4,000 ถึง 15,000 เหรียญสหรัฐ นักวิจัยระบุว่าการนำเครื่องมือนี้ไปใช้อย่างแพร่หลายโดยกลุ่มแรนซัมแวร์ต่างๆ แสดงให้เห็นว่าเครื่องมือดังกล่าวไม่ได้จำกัดการใช้งานเฉพาะจากผู้คุกคามเพียงรายเดียวอีกต่อไป   นักวิจัยระบุชื่อผู้ใช้หลายชื่อ รวมถึง “goodsoft” “lefroggy” “killerAV” และ “Stupor” เชื่อมโยงกับกลุ่มอาชญากรไซเบอร์ FIN7 ซึ่งแนะนำในการส่งเสริมเครื่องมือและบริการ ที่มา:sentinelone.com การใช้ข้อมูลระบุตัวตนหลายแบบในฟอรัมต่างๆ…