ร้านทำฟันชื่อดังในสหรัฐถูกเจาะข้อมูลลูกค้ากว่า 150,000 ราย

Posted on March 18, 2015 by welivesecurity in Hacking

Advantage Dental ร้านทำฟันชื่อดังได้ออกประกาศแจ้งเตือนลูกค้ากว่า 151,626 ราย หลังจากที่โดนเจาะระบบ ซึ่งอาจจะเกิดการรั่วไหลของข้อมูลผู้ป่วยที่เข้ามาทำการรักษาที่ร้านแห่งนี้

ฐานข้อมูลของลูกค้าถูกบุกรุกตั้งต่แวันที่ 23 กุมภาพันธ์ ก่อนที่ระบบตรวจจับการบุกรุกของบริษัทจะตรวจพบการเข้าถึงที่ไม่ได้รับอนุญาต โดยข้อมูลที่ถูกบุกรุกได้รวมถึง ชื่อผู้ป่วย, วันเดือนปีเกิด, หมายเลขโทรศัพท์, หมายเลขประกันสังคม และที่อยู่ อย่างไรก็ตามทาง Advantage Dental แจ้งว่าข้อมูลการรักษา, การชำระเงิน และข้อมูลทางการเงินอื่นๆ ไม่ได้ถูกบุกรุกแต่อย่างใด
Bend Bulletin รายงานว่า การแฮกข้อมูลน่าจะเกิดขึ้นจากมัลแวร์ในเครื่องคอมพิวเตอร์ของพนักงาน ซึ่งทำให้มีการเข้าถึงชื่อผู้ใช้งานและรหัสผ่าน ทำให้แฮกเกอร์สามารถเข้าถึงฐานของมูลสมาชิกได้ ยังดีที่ว่าข้อมูลทางการเงินและการรักษาถูกแยกออกไว้ต่างหาก ทำให้บริษัทมั่นใจว่าข้อมูลเหล่านี้ยังคงปลอดภัย
Jeff Dover ผู้จัดการของ Advantage Dental กล่าวว่า “ทีมรักษาความปลอดภัยภายในของบริษัทมั่นใจว่า พากเขามีความมั่นใจในการระบุภัยคุกคามต่างๆ ในสถานการณ์อื่นแฮกเกอร์จะทำได้แค่เพียงวิ่งวนไปรอบๆ ฐานข้อมูลเท่านั้น แต่น่าเสียดายที่สิ่งนี้เกิดขึ้นแล้ว อะไรที่บริษัทิสามารถตรวจสอบอย่างโปร่งใสได้ ทางบริษัทจะทำ รับผิดชอบสิ่งที่เกิดขึ้น และเรียนรู้ที่จะเดินหน้าต่อไป”
ทางบริษัทได้มีการายงานการบุกรุกครั้งนี้ไปยังสำนักงานอัยการสูงสุดของโอ เรกอน ตำรวจรัฐ และหน่วยสืบราชการลับของสหรัฐอเมริกา แต่ปัจจุบันยังไม่มีการระบุตัวผู้ต้องสงสัย และบริษัทกำลังอยู่ในช่วงของการแจ้งลูกค้าที่ได้รับผลกระทบ และนำเสนอการตรวจสอบเครดิต และให้บริการสายด่วนผ่านทาง Experian
blog.eset.co.th

CryptoFortress เลียนแบบ TorrentLocker แต่เป็น Ransomware ที่แตกต่างกัน

สัปดาห์ที่ผ่านมา Kafeine ได้โพสต์ในบล็อกเกี่ยวกับการเริ่มต้นของ Ransomware โดย Nuclear Pack exploit kit ว่า Ransomware นี้ระบุตัวเองว่าเป็น “CryptoFortress” แต่ข้อความเรียกค่าไถ่และการชำระเงินทั้งสองหน้านั้นดูเหมือนว่าเป็น Ransomware ที่เป็นที่รู้จักแล้วในนามชื่อ “TorrentLocker”

หลังจากมีการวิเคราะห์เพิ่มเติม นักวิจัย ESET พบว่าสองภัยคุกคามนี้มีความแตกต่างกันมาก ซึ่งมันปรากฏกลุ่มที่อยู่เบื้องหลัง โดย CryptoFortress ได้ขโมยแม่แบบ HTML กับ CSS ของรหัสมัลแวร์และรูปแบบจริงที่แตกต่างกันมาก นี่คือตารางสรุปความเหมือนและความแตกต่าง

หน้าเรียกค่าไถ่ของ CryptoFortress

หน้าเรียกค่าไถ่ของ TorrentLocker

ความแตกต่างในหน้าเว็บ HTML

เมื่อวันศุกร์ที่ผ่านมา Renaud Tabary จาก Lexsi ได้ตีพิมพ์การวิเคราะห์ที่สมบูรณ์ของ Ransomware ใหม่ ซึ่งนักวิจัย ESET ได้วิเคราะห์ตัวอย่าง CryptoFortress ก่อนที่ Lexsi จะตีพิมพ์รายละเอียดออกมา รายละเอียดทางเทคนิคอธิบายไว้ในบทความตรงกับผลการวิจัยของเรา
ESET Telemetry ยังแสดงให้เห็นถึงการรณรงค์ TorrentLocker ที่ยังคงแพร่กระจายผ่านทางข้อความสแปม ซึ่งแคมเปญทั้งสองนี้ได้ดำเนินการในแบบคู่ขนาน
อ้างอิง
CryptoFortress: Teerac.A (aka TorrentLocker) got a new identity,
http://malware.dontneedcoffee.com/2015/03/cryptofortress-teeraca-aka.html
CryptoFortress,
http://www.lexsi-leblog.com/cert-en/cryptofortress.html
ตัวอย่างการวิเคราะห์

CryptoFortress public key
—–BEGIN PUBLIC KEY—–
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDmeXVlPGxKoOyvZgLUoyDdzPEH
8D6gKlAdZVKmbv2RTjjTAcyOY/40zloPX+iJupuvwO1B/yXlsHZD8y0x/jv7v6ML
jHxetmZxUjqv9gLQJE8mJBbU/h0qwc9R7LQwcMapLxvv9O6aMa3Bimjp7bP7WY/9
fXgr1m/wA6Tz/kxF+wIDAQAB
—–END PUBLIC KEY—–

ที่มา :blog.eset.co.th

แฮกเกอร์จับโรงไฟฟ้านิวเคลียร์ในเกาหลีใต้เรียกค่าไถ่

Posted on March 16, 2015 by welivesecurity in Hacking

แฮกเกอร์กลุ่มหนึ่งได้ประกาศตัวว่า ได้ขโมย ข้อมูลสำคัญยิ่งยวดของโรงไฟฟ้านิวเคลียร์ในเกาหลีใต้ และต้องการเรียกค่าไถ่หากต้องการเก็บข้อมูลไว้เป็นความลับ

แฮกเกอร์กลุ่มนี้ได้ใช้ทวิตเอตร์ในการโพสต์เอกสารที่เกี่ยวข้องกับ เครื่องปฏิกรณ์พลังงานนิวเคีลยร์ โดยใช้ชื่อในการโพสต์ว่า ประธานกลุ่มต่อต้านนิวเคลียร์ในฮาวาย  Korea Hydo Nuclear Power Co. (KHNP) ยังไม่สามารถระบุได้ว่ามีเอกสารสำคัญอยู่ แต่พวกเขามั่นใจว่าเอกสารสำคัญจะไม่ถูกขโมยไปเพราะ เซิร์ฟเวอร์ได้ถูกแยกออกไปจากโรงไฟฟ้าตั้งแต่ปีที่แล้ว
แฮกเกอร์ยังไม่ได้ใส่จำนวนเงินที่ต้องการลงไป เพียงแต่ระบุว่ามีหลายประเทศที่ต้องการข้อมูลเกี่ยวกับเครื่องปฏิกรณ์ นิวเคลียร์จากกลุ่มประเทศในยุโรปตะวันออก เอเชียตะวันออกเฉียงใต้ และแอฟริกาใต้
Korea Times รายงานว่านี่ถือเป็นการโพสต์ครั้งที่ 5 ตั้งแต่ 15 ธันวาคมปีที่แล้ว ที่มีการขู่ว่าจะมีการทำลาย เว้นแต่เครื่องปฏิกรณ์นิวเคลียร์จะปิดตัวลงก่อนคริสต์มาศปีที่แล้ว
ในด้าน KHNP แถลงว่า นับตั้งแต่มีประกาศฉบับที่ 5 ของกลุ่มต่อต้านนิวเคลียร์จากข้อมูลเมื่อวันที่ 23 ธันวาคมปีที่แล้ว ยังไม่มีการโจมตีหรือการรั่วไหลของข้อมูลใดๆ เกิดขึ้น
Welivesecurity
blog.eset.co.th

พบช่องโหว่ในระบบการบินสหรัฐที่ยอมให้แฮกเกอร์ควบคุมระบบได้

Posted on March 6, 2015 by welivesecurity in Cybercrime

ศูนย์ควบคุมการบินของสหรัฐ หรือ FAA จะต้องดูแลเรื่องการรักษาความปลอดภัยมากขึ้นกว่าเดิม

จากรายงานฉบับใหม่ของสำนักงาน Government Accountability Office (GAO)
รายงานความยาว 42 หน้าของ GAO ได้เปิดเผยถึงจุดอ่อนในการรักษาความปลอดภัยในระบบควบคุมการบิน และในรายงานยังได้กล่าวถึงการป้องกัน และการตรวจจับการเข้าถึงอุปกรณ์คอมพิวเตอร์ การระบุตัวตน และการยืนยันตัวตนของผู้ใช้งาน รวมไปถึงการเข้ารหัสข้อมูลที่มีความอ่อนไหวครบกำหนดการใชเ
ทางทีมตรวจสอบพบว่า แผนงานด้านการรักษาความปลอดภัยของ FAA นั้นไม่มีการปรับปรุงมาตั้งแต่ปี 2010 ในขณะที่ระบบถึงกำหนดเปลี่ยนตั้งแต่ปี 2002 นี่ถือว่าเป็นเรื่องร้ายแรง ซึ่งแฮกเกอร์สามารถหาทางใช้ระบบควบคุมการบินเป็นอาวุธได้
FAA Administrator Michael Huerta ผู้ดูแลระบบของ FAA ได้แถลวต่อสภาคองเกรสว่า ทางสำนักงานจะทำการปรับปรุงระบบตามที่ GAO แนะนำ โดยได้เริ่มดำเนินการในส่วนสำคัญๆ ไปแล้ว

blog.eset.co.th

บัตรของขวัญออนไลน์ ได้ฟรีมีของแถม

Posted on March 4, 2015 by welivesecurity in Malware

ปลอมบัตรของขวัญ Amazon ถูกส่งไปยังอุปกรณ์ Android ผ่านทางข้อความ สิ่งที่ได้มาไม่ใช่ส่วนลดตามที่บัตรแจ้ง แต่คุณจะได้รับมัลแวร์แทน จากรายง
านของ The Register
ESET ตรวจพบว่า ไวรัสนี้เป็นหนอนอินเทอร์เน็ต (Worm) สายพันธ์ Android/Gazon.A ซึ่งคาดการณ์ว่ามีการติดเชื้อกว่าในสมาร์โฟนไปแล้วกว่า 4,000 เครื่องในทวีปอเมริกาเหนือ ไวรัสได้ทำการส่ง SMS ออกไปแล้วกว่า 200,000 ข้อความ โดยข้อความ SMS ที่ไม่พึงประสงค์นี้จะมีลิงค์บัตรของขวัญอยู่ เมื่อคลิกลิงค์ มัลแวร์จะทำการติดตั้งซอฟต์แวร์ลงบนอุปกรณ์และส่งข้อความไปยังรายชื่อที่มี อยู่ในเครื่อง ไวรัสจะพยายามที่จะล่อให้ผู้ใช้โดยบัตรของขวัญ Amazon มูลค่า 200 เหรียญสหรัฐ แต่การเชื่อมโยงในข้อความ SMS จะนำไปสู่​​หน้าของการโฆษณาหรือขอให้เหยื่อดาวน์โหลดเกมส์หรือมีส่วนร่วมใน การสำรวจ นิตยสาร PC World ได้อธิบายว่า ในการคลิกหน้าโฆษณา หรือดาวน์โหลดเกมส์ น่าจะเป็นการทำเงินให้กับผู้ที่เขียนหนอนอินเทอร์เน็ตตัวนี้
มัลแวร์ได้รับการยอมรับเป็นครั้งแรกเมื่อวันที่ 25 กุมภาพันธ์และได้สร้างการคลิกผ่าน SMS ไปกว่า 16,000 คลิก รวมไปถึงช่องทางอื่น ๆ ทั้งอีเมล์และ Facebook อุปกรณ์ที่ติดเชื้อถูกพบในกว่า 30 ประเทศรวมไปถึงประเทศออสเตรเลีย, ฟิลิปปินส์, แคนาดา, ฝรั่งเศส, อินเดีย, เกาหลี, เม็กซิโก และสหราชอาณาจักร
ผู้ใช้ควรระมัดระวังการโจมตีทาง SMS หรือทางอีเมล์ แม้ว่าข้อความหรือจดหมายเหล่านั้นจะถูกส่งออกมาจาก บริษัท หรือแม้กระทั่งเพื่อนของคุณเอง หากไม่แน่ใจก็ไม่ควรคลิกหรือเปิดอ่านข้อความ
ผู้ที่ได้รับผลกระทบจากเชื้อไวรัสนี้ สามารถถอนการติดตั้งมัลแวร์ได้ทันทีโดยใช้เครื่องมือถอนการติดตั้งแอพพลิเค ชั่นมาตรฐานที่มีอยู่ในเครื่อง หรือทำตามวิธีในวิดีโอด้านล่าง “5 ขั้นตอนรักษาความปลอดภัย Andorid Lollipop”

Welivesecurity
blog.eset.co.th