Trend Micro ประกาศนำเทคโนโลยี Connected Threat Defense บุกตลาดองค์กรขนาดกลาง เพื่อรับมือกับภัยคุกคามด้านไซเบอร์ที่มีความรุนแรงและใช้รูปแบบวิธีการโจมตีที่ล้ำหน้ามากขึ้นเรื่อยๆ โดยคุณคงศักดิ์ ต่อตระกูล ผู้จัดการอาวุโสฝ่ายเทคนิคของ Trend Micro ประเทศไทยได้มาบรรยายถึงสถานการณ์ความปลอดภัยทางไซเบอร์ที่องค์กรต้องเผชิญและเตรียมรับมือในปัจจุบัน ผมเลยสรุปมาฝากกันย่อๆ ครับ

มีผู้ใช้งานแจ้งปัญหาบนเกี่ยวกับแอป com.google.camera.fun ติดตั้งมาพร้อมเครื่อง Lenovo Vibe P1M ถูกแจ้งเป็นมัลแวร์ครั้งแรกในวันที่ 24 กุมภาพันธ์ 2559 (com.google.camera.fun on Vibe p1m)

ต่อมามีผู้แจ้งพบอีก 2 ครั้ง คือในวันที่ 23 พฤษภาคม 2559 (Lenovo P1m (P1ma40) - Permanent Malware com.google.camera.fun.apk ) และ 9 มิถุนายน 2559 (PORN on my Lenovo P1m (P1ma40))

การแจ้งปัญหาทั้งสามกรณีอยู่บน Lenovo Official Forum จากการสำรวจข้อมูลทั้งสาม มีสองรายเป็นเครื่องที่ซื้อจาก ศ. True ในประเทศไทย ชื่อรุ่นเฟิร์มแวร์คือ P1ma40_USR_S006_1510201530_MP3V2_16G_TRUE_TH เอาไว้ด้วย

PhishMe ผู้ให้บริการป้องกันการโจมตีองค์กรด้วยการฟิชชิ่งแบบเจาะจงเป้าหมาย (spear phishing) ออกรายงานภัยอีเมลไตรมาสแรกของปี 2016 พบว่ามัลแวร์เข้ารหัสข้อมูลเรียกค่าไถ่ยังคงเติบโตต่อเนื่อง เนื่องจากความสำเร็จของมัลแวร์ก่อนหน้านี้ที่สามารถเรียกเงินจากเหยื่อได้

รายงานฉบับนี้ระบุว่ามีการโจมตีด้วยอีเมลฟิชชิ่งทั้งหมด 612 ระลอกในช่วงสามเดือนแรกของปีนี้ รวมเป็นอีเมล 6.3 ล้านฉบับ ในจำนวนนี้ มีอีเมลที่มาพร้อมกับมัลแวร์เข้ารหัสข้อมูลเรียกค่าไถ่มากขึ้นเรื่อยๆ จนเดือนมีนาคมที่ผ่านมามีสัดส่วนถึง 50% ของอีเมลฟิชชิ่งทั้งหมด ขณะที่เมื่อปีที่แล้วสัดส่วนนี้เกิน 10% เมื่อเดือนธันวาคมเท่านั้น

Kaspersky บริษัทด้านความปลอดภัย ออกรายงานพิเศษ แจ้งเตือนว่ากลุ่มแฮกเกอร์ที่ใช้ภาษารัสเซียซึ่งเรียกตัวเองว่า Skimer กำลังปฏิบัติการติดตั้งมัลแวร์ที่มีชื่อว่า Skimer (ชื่อเดียวกันกับกลุ่ม) ซึ่งพัฒนามาจากรุ่นเดิมที่เคยระบาดเมื่อปี 2009 แต่รุนแรงขึ้นกว่าเดิม โดยแปลงให้เครื่อง ATM ของธนาคารสามารถกลายเป็น skimmer พร้อมกับสั่งถอนเงินได้ในตัว

ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย (ThaiCERT) ออกประกาศเตือนเมื่อวันพุธที่ผ่านมาว่ากำลังมีการแพร่ระบาดของมัลแวร์ผ่าน Facebook ในลักษณะของการแจ้งเตือนว่ามีบุคคลอื่นพาดพิง (mention) ชื่อเราในโพสต์บน Facebook ซึ่งหากผู้ใช้คลิกเข้าไปอาจจะทำให้ติดมัลแวร์ที่สามารถสวมรอยหรือขโมยข้อมูลของผู้ใช้ได้

การแจ้งเตือนนี้เมื่อผู้ใช้คลิกเข้าไป จะนำผู้ใช้เข้าไปสู่เว็บไซต์ที่จะติดตั้งส่วนเสริมของ Google Chrome ที่เปลี่ยนสีของหน้าเว็บบน Facebook ขณะเดียวกันก็เปิดทางให้โพสต์ความเห็นใน Facebook โดยที่เราไม่ได้รับอนุญาต เมื่อเพื่อนเราได้รับการแจ้งเตือนก็จะถูกพาไปยังเว็บไซต์แบบเดียวกัน ซึ่งการกระทำแบบนี้อาจนำไปสู่การหลอกให้ดาวน์โหลดไฟล์ที่มีมัลแวร์หรือการขโมยรหัสผ่านได้

หลังการตีแผ่ข้อมูลเกี่ยวเนื่องกับเหตุการณ์ที่แฮคเกอร์เจาะระบบของธนาคารกลางบังคลาเทศจนสามารถขโมยเงิน 80 ล้านดอลลาร์ไปได้ บทวิเคราะห์และการแถลงข่าวจากองค์กรที่เกี่ยวข้องก็ทยอยมีออกมาเรื่อย ล่าสุด BAE บริษัทวิจัยด้านความปลอดภัยไซเบอร์จากสหราชอาณาจักรก็ออกมาชี้ถึงความเป็นไปได้ว่าแฮคเกอร์ใช้มัลแวร์เข้าช่วยในการเจาะซอฟต์แวร์ที่เกี่ยวข้องในงานนี้ ในขณะที่ SWIFT ซึ่งเป็นองค์กรกลางที่ดูแลการถ่ายโอนเงินระหว่างธนาคารข้ามประเทศก็ออกมาเผยเรื่องการตรวจพบมัลแวร์และมาตรการแก้ไขสถานการณ์

ข่าวนี้เก่าไปนิดแต่ยังน่าสนใจครับ บริษัทความปลอดภัย Kaspersky ออกมาเตือนภัยคอเกม เพราะมีมัลแวร์ตัวใหม่ที่จ้องจะฉกล็อกอิน Steam ของเรา เพื่อขโมยไอเทมในเกมไปขายทำเงินต่อ

มัลแวร์ตัวนี้ถูกเรียกว่า Steam Stealers น่าจะมีต้นกำเนิดจากรัสเซีย ตัวมัลแวร์ต้นแบบถูกพัฒนาเพื่อขายต่อให้แฮ็กเกอร์รายอื่นๆ นำไปใช้ขโมยข้อมูล Steam อีกที (ปัจจุบันค้นพบมากกว่า 1,200 พันธุ์ย่อย) วิธีการแพร่ระบาดไม่ได้ผ่าน Steam โดยตรง แต่ใช้การสร้างเว็บปลอม, การเจาะผ่านช่องโหว่ หรือ social engineering เหมือนกับมัลแวร์ทั่วไป

พอร์ตอเนกประสงค์อย่าง USB-C ที่นอกจากจะพลิกด้านเสียบแบบใดก็ได้ ตั้งแต่เปิดตัวมาก็พบปัญหาเรื่องอื่นมากมาย ทั้งคุณภาพสายและอะแดปเตอร์ที่ไม่ได้คุณภาพ ทำให้อุปกรณ์ที่เสียบใช้พัง หรือกรณีการฝังมัลแวร์มากับสาย

ล่าสุด USB.org หน่วยงานกลางที่ดูแลมาตรฐานและสเปคของ USB จึงเปิดตัว USB Type-C Authentication เปิดทางให้ระบบต้นทางตรวจสอบคุณภาพข้อมูลที่สายนำเข้ามาผ่านการเข้ารหัส 128 บิต เมื่อถูกต้องก็ค่อยส่งข้อมูลและพลังงานออกหากัน ด้วยการอัพเดตไดรเวอร์หรือเฟิร์มแวร์กับอุปกรณ์ฝั่งโฮสต์ ส่วนอุปกรณ์ก็ต้องเปลี่ยนให้ผ่านมาตรฐาน

ทั้งนี้ก็ยังอัพเดตสเปคแบบ developer-only ของ USB Power Delivery เป็นรุ่น 3.0 ให้สนับสนุนเทคนิค authentication นี้รวมถึง USB-C bridging ครับ สเปคอื่นเหมือนเดิม

ที่มา - Ars Technica

ปัญหามัลแวร์เข้ารหัสข้อมูลเรียกค่าไถ่ (ransomware) ดูจะไม่มีวี่แววเบาลงแต่อย่างใด ตอนนี้หน่วยงานแจ้งเตือนความปลอดภัยไซเบอร์ของสหรัฐฯ (US-CERT) และแคนาดา (CCIRT) ก็ออกประกาศร่วมกัน แจ้งเตือนผู้ที่ยังไม่เจอมัลแวร์เหล่านี้เสียเองให้ตระหนักและป้องกัน

ประกาศแจ้งเตือนนี้ระบุว่าจุดเริ่มต้นของ ransomware เกิดมาในช่วงปี 2012 ที่เริ่มมีรายงานจาก Symantec ว่ามัลแวร์ประเภทนี้ทำเงินได้อย่างมากเดือนละเกือบสี่แสนดอลลาร์จากเซิร์ฟเวอร์ควบคุมเพียงตัวเดียว หลังจากนั้นมัลแวร์สายใหม่ๆ ในประเภทเดียวกันก็เพิ่มขึ้นอย่างรวดเร็ว

ประกาศแจ้งเตือนนี้ระบุทางป้องกันเอาไว้ 7 แนวทาง

IBM Security หน่วยงานด้านความปลอดภัยของ IBM เปิดแพลตฟอร์มแลกเปลี่ยนสารสนเทศด้านความปลอดภัย X-Force Exchange มาตั้งแต่ปีที่แล้ว

สัปดาห์ก่อน มีผู้เชี่ยวชาญด้านความปลอดภัยของ IBM Security คือคุณ Diana Kelley ตำแหน่ง Executive Security Advisor มาเยือนเมืองไทย และผมมีโอกาสได้พูดคุยเกี่ยวกับสภาพการณ์ของวงการความปลอดภัยโลก ในสายตาของ IBM มีประเด็นที่น่าสนใจหลายอย่างทั้งเรื่อง ransomware, blockchain และความสำคัญของ security auditing ครับ

จากปัญหา พบมัลแวร์เรียกค่าไถ่บน Mac มาพร้อมอัพเดตของ Transmission ตัวแทนของโครงการ Transmission ให้สัมภาษณ์กับสำนักข่าว Reuters ว่ามีคนดาวน์โหลดไฟล์เวอร์ชันที่มีปัญหาไปแล้ว 6,500 ครั้ง

ส่วนสาเหตุของมัลแวร์ ransomware มาจากเว็บเซิร์ฟเวอร์ของ Transmission โดนแฮ็ก ซึ่งทางผู้ดูแลได้เสริมระบบความปลอดภัยให้เว็บเซิร์ฟเวอร์แล้ว

โครงการยังแนะนำให้ผู้ใช้ทุกคนอัพเดตเป็นเวอร์ชัน 2.92 ซึ่งเป็นเวอร์ชันล่าสุดด้วย

Internet Archive หรือ Archive.org เปิดตัวคอลเลกชันใหม่ล่าสุด Malware Museum ซึ่งได้รวบรวมมัลแวร์ในยุค DOS ไว้แล้วกว่า 78 ตัว โดยส่วนใหญ่เป็นไวรัสที่แพร่กระจายในช่วงทศวรรษ 1980 ถึง 1990 บนคอมพิวเตอร์ตามบ้าน ซึ่งมีทั้งไวรัสที่สร้างความเสียหายต่อข้อมูล และไวรัสที่แค่สร้างความน่ารำคาญ คอลเลกชันนี้ได้รับการเรียบเรียงและอัพโหลดโดย Mikko Hypponen และ Jason Scott

Malwarebytes สำรวจธุรกิจหลอกให้ผู้ใช้ซื้อบริการซัพพอร์ตด้วยหน้าเว็บแจ้งเตือนมัลแวร์ปลอม ระบุว่าตรวจสอบด้วยซอฟต์แวร์ของ Symantec พร้อมแจ้งหมายเลขโทรศัพท์ขอรับซัพพอร์ต

เมื่อผู้ใช้โทรเข้าศูนย์เหล่านี้ ทางศูนย์จะแนะนำให้เข้าเว็บไซต์เพื่อรันซอฟต์แวร์ควบคุมเครื่องจากระยะไกลเพื่อให้ซัพพอร์ตเข้ามาตรวจสอบเครื่องได้ หลังจากนั้นเจ้าหน้าที่จะเข้ามาเปิด Windows EventViewer และชี้ว่ามีคำเตือนมากมายในเครื่อง (ทั้งที่เครื่องปกติก็มีคำเตือนเหล่านี้) และชี้ว่ามีโปรเซส csrss.exe รันอยู่ในเครื่อง

เมื่อแจ้งปัญหาปลอมๆ เหล่านี้ครบแล้ว เจ้าหน้าที่จะเสนอบริการติดตั้ง Norton พร้อมกับค่าทำความสะอาดเครื่อง 199 ดอลลาร์ และค่าประกันอีก 249 ดอลลาร์

ช่วงหลังๆ เราเห็นพฤติกรรมของซอฟต์แวร์จำพวก adware เริ่มซับซ้อนมากขึ้น ตัวอย่างที่ชัดเจนคือกรณี Superfish ที่เกิดกับคอมพิวเตอร์ Lenovo ที่ใช้เทคนิคฝังตัวเองลงในเครื่อง แล้วทำตัวเป็นคนกลาง (man-in-the-middle) แทรกโฆษณาเข้ามาในการติดต่อระหว่างผู้ใช้กับเซิร์ฟเวอร์ปลายทาง

ไมโครซอฟท์ในฐานะเจ้าของระบบปฏิบัติการ จึงเริ่มปรับนโยบายการนิยามคำว่า adware ใหม่ให้ครอบคลุมกรณีแบบนี้ด้วย โดยระบุว่า adware บนเบราว์เซอร์จะต้องใช้ช่องทางการติดตั้งส่วนขยายตามปกติของเบราว์เซอร์เท่านั้น เพื่อยืนยันว่าผู้ใช้ต้องการใช้งานโฆษณารูปแบบนี้จริงๆ และผู้ใช้สามารถลบทิ้งได้เองโดยง่าย

การโจรกรรมข้อมูลผ่านการกระจายมัลแวร์บนอินเทอร์เน็ตไม่ใช่เรื่องแปลกในสมัยนี้แต่อย่างใด แต่สิ่งที่เราไม่เคยรู้คือกลุ่มคนที่เผยแพร่มัลแวร์ดังกล่าวได้ค่าตอบแทนไปมากแค่ไหนจากความพยายามเหล่านี้ ล่าสุดมีรายงานเกี่ยวกับเรื่องนี้ออกมาแล้ว

บริษัทความปลอดภัย Lookout ตรวจสอบแอพชื่อดังบน Android ที่ถูกดูดไฟล์จาก Google Play Store ไปไว้บนร้านขายแอพ third party รายอื่นๆ และพบว่าแอพกว่า 20,000 ตัวถูกฝังโฆษณา (adware/malware แล้วแต่จะเรียก) ที่เข้าถึงสิทธิ root ของระบบได้ด้วย

Lookout พบว่ามัลแวร์รุ่นใหม่ซ่อนตัวเนียนกว่าเดิมมาก มิหนำซ้ำ เมื่อติดตั้งแอพลงในเครื่องแล้ว มันจะแอบ root เครื่องเราโดยไม่ให้รู้ตัว (โดยใช้ช่องโหว่ของ Android ที่รู้จักกันในวงการ root อยู่แล้ว) ส่งผลให้ผู้ใช้ไม่สามารถลบมัลแวร์เหล่านี้ทิ้งได้ง่ายๆ และถ้าแฟลชรอมใหม่ไม่เป็นก็จำเป็นต้องซื้อเครื่องใหม่เลยด้วยซ้ำ

เวอร์ชัน iOS ด้วย

XcodeGhost อาศัยช่องว่างที่ว่าไฟล์ Xcode ของแอปเปิลมีขนาดใหญ่ ต้องใช้เวลาดาวน์โหลดนาน นักพัฒนาในประเทศจีนจึงใช้วิธีดาวน์โหลดจาก mirror ในประเทศแทน ซึ่งทำให้แฮ็กเกอร์แก้แพ็กเกจของ Xcode โดยฝังมัลแวร์ลงไปด้วย (อยู่ในส่วน CoreServices)

Xcode เวอร์ชันฝังพิษจะแอบฝังโค้ดของตัวเองลงในแอพ iOS ตอนคอมไพล์ แอพเหล่านี้จะแอบดึงข้อมูลในเครื่องผู้ใช้ แล้วส่งกลับไปยังเซิร์ฟเวอร์ของแฮ็กเกอร์

FireEye รายงานถึงรอม SYNful Knock เป็นรอมที่ถูกดัดแปลงและติดตั้งเข้ากับเราท์เตอร์ใน 4 ประเทศ ได้แก่ ยูเครน, ฟิลิปปินส์, เม็กซิโก, และอินเดีย เราท์เตอร์เหล่านี้ถูกติดตั้งในหลายที่รวมถึงหน่วยงานรัฐบาล ตัวรอมจะเปิดช่องโหว่เพื่อรอรับคำสั่งจากเซิร์ฟเวอร์

ตอนนี้เราท์เตอร์ที่พบ SYNful Knock แล้วมี 3 รุ่น ได้แก่ Cisco 1841, Cisco 2811, และ Cisco 3825

เว็บไซต์นิตยสาร Forbes รายงานข่าวโดยระบุว่า Palo Alto Networks บริษัทวิจัยด้านความปลอดภัย ได้ออกประกาศเมื่อช่วงสุดสัปดาห์ที่ผ่านมา ระบุว่ามีการตรวจพบมัลแวร์ที่ชื่อ "KeyRider" แพร่ระบาดบนแพลตฟอร์มของ iOS โดยผู้ใช้งานที่จะได้รับผลกระทบจากการแพร่ระบาดในครั้งนี้ คือคนที่ทำการเจลเบรคอุปกรณ์สาย iOS นั่นเอง

รายงานข่าวระบุว่า มัลแวร์ตัวนี้ซึ่งสงสัยว่าอาจจะมีต้นทางมาจากจีน จะทำการดักเอา Apple ID ของผู้ใช้งาน แล้วส่งกลับไปยังแฮกเกอร์ หลังจากนั้นแฮกเกอร์จะนำเอา Apple ID ไปใช้งาน มากกว่านั้นคือมีความเป็นไปได้ที่จะแฮกเอาทั้งรหัสประจำตัวของโทรศัพท์และใบรับรองความปลอดภัยไป เพื่อเข้าถึงบริการอย่าง Apple Pay ด้วย โดยระบุว่ามีผู้ได้รับผลกระทบแล้วกว่า 2 แสนราย

เมื่อเดือนมีนาคมปีก่อน มีข่าวการพบมัลแวร์ของ Android ที่มีการตั้งชื่อให้มันว่า Dendroid ซึ่งแท้จริงคือชุดเครื่องมือสร้างมัลแวร์สำหรับการล้วงข้อมูลจากผู้ใช้ มาวันนี้หน้ากากของผู้ที่สร้างมันได้ถูกฉีกออกมาแล้ว และโฉมหน้าที่แท้จริงของผู้สร้าง Dendroid นั้นเป็นนักศึกษาวัย 20 ปี โดยหลังการจับกุมและถูกไต่สวนในศาล ตอนนี้เขาอาจต้องเจอโทษจำคุก 10 ปีสำหรับสิ่งที่เขาทำ

จากข่าว Kaspersky โดนอดีตพนักงานแฉว่าปล่อยมัลแวร์ปลอมมานานนับ 10 ปี ล่าสุด Eugene Kaspersky ผู้ก่อตั้งและซีอีโอของบริษัทออกมาตอบโต้ข่าวนี้แล้วว่าไม่เป็นความจริงอย่างแน่นอน

Eugene บอกว่ารายงานของ Reuters ไม่มีหลักฐานใดๆ อย่างสิ้นเชิง รวมถึงแหล่งข่าวที่ Reuters อ้างก็ไม่เปิดเผยชื่อว่าเป็นใครด้วย ซึ่งเขาไม่เข้าใจว่าสื่อระดับโลกมีมาตรฐานแย่ขนาดนี้ได้อย่างไร ถึงอ้างแหล่งข่าวไร้ตัวตนมากล่าวหาในเรื่องใหญ่แบบนี้

2 อดีตพนักงานของ Kaspersky เผยกับ Reuters ว่าบริษัทผู้พัฒนาโปรแกรมแอนตี้ไวรัสชื่อดังจากรัสเซียแห่งนี้ได้ทำการปล่อยมัลแวร์ปลอมเพื่อเล่นงานบริษัทคู่แข่งมานานนับ 10 ปี โดยแหล่งข่าวระบุว่าจุดประสงค์แรกเริ่มของงานนี้ก็เพื่อหาทางแก้เผ็ดบริษัทคู่แข่งรายย่อยที่ Kaspersky เชื่อว่าขโมยเอาเทคโนโลยีของตนเองไปใช้

ช่องโหว่ของแอนดรอยด์ที่ชื่อ StageFright มีความสามารถทำให้ผู้ไม่ประสงค์ดีสามารถบุกเข้าสมาร์ทโฟนโดยมัลแวร์ที่ฝังมากับ MMS รวมถึงผ่านทางแอพและเว็บไซต์ แม้ตอนนี้จะมีแพตช์ออกมาอุดช่องโหว่แล้วก็เหมือนเรื่องราวจะยังไม่จบ เมื่อแพตช์ที่ออกมาอุดช่องโหว่กลับมีช่องโหว่เสียเอง

ถึงแม้จะเริ่มมีการออกแพทช์แก้ไขปัญหา Stagefright ทั้งจากกูเกิลโดยตรง ค่ายมือถือ และโอเปอเรเตอร์ แต่ Deutsch Telekom โอเปอเรเตอร์ในเยอรมนีเลือกที่จะระงับการให้บริการ MMS จากเครือข่ายโดยตรงแทน จนกว่าปัญหา Stagefright จะถูกแก้จนหมด

ผู้ใช้งานจะไม่สามารถดาวน์โหลด MMS ลงเครื่องโดยอัตโนมัติ และจะได้เป็น SMS แจ้งเตือนแทนว่าได้รับ MMS ให้ดาวน์โหลดจากลิงก์ที่แนบมาภายใน 3 วัน พร้อมพาสเวิร์ด อีกทั้งยังเตือนด้วยว่าให้ระมัดระวังด้วย เพราะการโหลดและเปิดวิดีโอดังกล่าวยังคงมีความเสี่ยงอยู่

บริษัทความปลอดภัย Malwarebytes รายงานว่าในรอบสัปดาห์ที่ผ่านมา (นับตั้งแต่ 28 ก.ค.) มีแฮ็กเกอร์ใช้เครือข่ายโฆษณาของ Yahoo เผยแพร่มัลแวร์ครั้งใหญ่ที่สุดครั้งหนึ่งในประวัติศาสตร์วงการไอที

Malwarebytes ตรวจสอบพบว่าแฮ็กเกอร์รายนี้เช่าเซิร์ฟเวอร์ Azure บวกกับเซิร์ฟเวอร์ของตัวเอง แล้วลงโฆษณาผ่านระบบของ Yahoo ให้อยู่ในรูปไฟล์ Flash โดยฝังโค้ดประสงค์ร้ายไว้ในโฆษณา ถ้าหากผู้ใช้ที่โชคร้ายเปิดมาพบโฆษณาชุดนี้ และ Flash Player ในเครื่องไม่ได้อัพเดตเป็นเวอร์ชันล่าสุด ก็จะโดนเจาะผ่านช่องโหว่ของ Flash ทันที

ความร้ายแรงของการแพร่มัลแวร์รอบนี้อาศัยช่องโหว่ที่ผู้ใช้จำนวนมากไม่ยอมอัพเดต Flash บวกกับเครือข่ายโฆษณาของ Yahoo ที่เข้าถึงเว็บใหญ่ๆ เป็นจำนวนมาก ทำให้มีคนที่ได้รับผลกระทบในวงกว้าง