FBI เตือนการกลับมาของมัลแวร์เรียกค่าไถ่ Medusa ที่พุ่งเป้าโจมตีโครงสร้างพื้นฐานสำคัญ

BigGo Editorial Team
FBI เตือนการกลับมาของมัลแวร์เรียกค่าไถ่ Medusa ที่พุ่งเป้าโจมตีโครงสร้างพื้นฐานสำคัญ

การโจมตีด้วยมัลแวร์เรียกค่าไถ่ยังคงเป็นภัยคุกคามที่สำคัญต่อองค์กรในหลากหลายภาคส่วน โดยกลุ่มอาชญากรไซเบอร์ที่มีความซับซ้อนมีการพัฒนากลยุทธ์การโจมตีอยู่ตลอดเวลา หน่วยงานของรัฐบาลกลางได้เตือนเกี่ยวกับมัลแวร์เรียกค่าไถ่ที่อันตรายเป็นพิเศษซึ่งมีเหยื่อเพิ่มขึ้นอย่างรวดเร็วในช่วงหลายเดือนที่ผ่านมา

FBI และหน่วยงานความมั่นคงปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐฯ กำลังเตือนเกี่ยวกับแผนการแรนซัมแวร์ที่อันตราย
FBI และหน่วยงานความมั่นคงปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐฯ กำลังเตือนเกี่ยวกับแผนการแรนซัมแวร์ที่อันตราย

หน่วยงานรัฐบาลกลางออกคำเตือนร่วมเกี่ยวกับมัลแวร์เรียกค่าไถ่ Medusa

FBI และ หน่วยงานความมั่นคงปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐฯ ( CISA ) ได้ออกคำเตือนด่วนเกี่ยวกับการกลับมาของ Medusa ซึ่งเป็นบริการมัลแวร์เรียกค่าไถ่ (RaaS) ที่มีการดำเนินการมาตั้งแต่ปี 2021 ตามรายงานร่วมระบุว่า ผู้พัฒนา Medusa และพันธมิตรได้โจมตีเหยื่อมากกว่า 300 รายตั้งแต่เดือนกุมภาพันธ์เป็นต้นมา โดยมุ่งเป้าไปที่โครงสร้างพื้นฐานสำคัญในหลายภาคส่วน รวมถึงด้านสาธารณสุข การศึกษา บริการทางกฎหมาย การประกันภัย เทคโนโลยี และการผลิต

ข้อมูลสำคัญเกี่ยวกับมัลแวร์เรียกค่าไถ่ Medusa:

  • เริ่มปฏิบัติการตั้งแต่: มิถุนายน 2564
  • เหยื่อล่าสุด: มากกว่า 300 รายตั้งแต่กุมภาพันธ์ 2568
  • ภาคส่วนเป้าหมาย: การแพทย์ การศึกษา กฎหมาย ประกันภัย เทคโนโลยี การผลิต
  • การเรียกค่าไถ่: 100,000 ดอลลาร์สหรัฐฯ ถึง 15 ล้านดอลลาร์สหรัฐฯ
  • ค่าธรรมเนียมการขยายเวลานับถอยหลัง: 10,000 ดอลลาร์สหรัฐฯ ต่อวัน

วิวัฒนาการจากการดำเนินการแบบปิดสู่โมเดลพันธมิตร

ในช่วงแรก Medusa ดำเนินการเป็นมัลแวร์เรียกค่าไถ่แบบปิด โดยอาชญากรกลุ่มเดียวกันทั้งพัฒนามัลแวร์และดำเนินการโจมตี อย่างไรก็ตาม ปัจจุบันได้เปลี่ยนเป็นโมเดลพันธมิตร โดยผู้พัฒนาจะมุ่งเน้นที่การเจรจาค่าไถ่ ในขณะที่รับสมัครพันธมิตรผ่านฟอรั่มในเว็บมืดเพื่อดำเนินการโจมตี ความพยายามในการรับสมัครเหล่านี้อาจเกี่ยวข้องกับการจ่ายเงินตั้งแต่ 100 ดอลลาร์สหรัฐ ไปจนถึง 1 ล้านดอลลาร์สหรัฐ สำหรับงานพิเศษ ซึ่งสร้างเครือข่ายอาชญากรไซเบอร์ที่กระจายตัวและมีบทบาทเฉพาะทาง

วิธีการโจมตีที่ซับซ้อน

เวกเตอร์การติดเชื้อหลักของ Medusa คือแคมเปญฟิชชิ่งที่ออกแบบมาเพื่อขโมยข้อมูลประจำตัวของเหยื่อ เมื่อได้รับการเข้าถึงเบื้องต้นแล้ว ผู้โจมตีจะใช้เครื่องมือที่ถูกกฎหมายหลากหลายเพื่อดำเนินการต่อ พวกเขาใช้ยูทิลิตี้เช่น Advanced IP Scanner และ SoftPerfect Network Scanner เพื่อระบุระบบที่มีช่องโหว่และพอร์ตที่เปิดอยู่ ในขณะที่ PowerShell และ Windows command prompt ช่วยในการรวบรวมรายการทรัพยากรเครือข่าย สำหรับการเคลื่อนที่ข้ามเครือข่ายที่ถูกบุกรุก อาชญากรใช้ซอฟต์แวร์การเข้าถึงระยะไกลรวมถึง AnyDesk, Atera และ Splashtop ควบคู่กับ Remote Desktop Protocol และ PsExec

กลยุทธ์การขู่กรรโชกซ้ำซ้อน

Medusa ใช้โมเดลการขู่กรรโชกซ้ำซ้อนที่รุนแรงเป็นพิเศษ นอกเหนือจากการเข้ารหัสข้อมูลของเหยื่อเพื่อทำให้ไม่สามารถเข้าถึงได้แล้ว ผู้โจมตียังขู่ว่าจะเผยแพร่ข้อมูลที่ขโมยมาต่อสาธารณะหากไม่จ่ายค่าไถ่ การดำเนินการนี้มีเว็บไซต์รั่วไหลข้อมูลที่แสดงรายชื่อเหยื่อพร้อมกับตัวนับเวลาถอยหลังที่แสดงว่าเมื่อใดข้อมูลของพวกเขาจะถูกเผยแพร่ ในแนวทางปฏิบัติที่โหดร้ายเป็นพิเศษ เหยื่อสามารถจ่าย 10,000 ดอลลาร์สหรัฐ ในสกุลเงินดิจิทัลเพื่อขยายเวลานับถอยหลังออกไปเพียงหนึ่งวัน สร้างแรงกดดันเพิ่มเติมให้ยอมจ่ายค่าไถ่ที่มีรายงานว่าอยู่ระหว่าง 100,000 ดอลลาร์สหรัฐ ถึง 15 ล้านดอลลาร์สหรัฐ

เชื่อมโยงกับกลุ่ม Spearwing

ตามการวิจัยล่าสุดจาก Symantec มัลแวร์เรียกค่าไถ่ Medusa ถูกเชื่อมโยงกับผู้โจมตีที่เรียกว่า Spearwing ตั้งแต่ต้นปี 2023 กลุ่มนี้ได้ประกาศรายชื่อเหยื่อเกือบ 400 รายบนเว็บไซต์รั่วไหลข้อมูล แม้ว่านักวิจัยด้านความปลอดภัยเชื่อว่าจำนวนองค์กรที่ถูกบุกรุกที่แท้จริงมีจำนวนมากกว่านี้อย่างมีนัยสำคัญ

มาตรการป้องกันที่แนะนำ

หน่วยงานของรัฐบาลกลางได้กำหนดมาตรการป้องกันที่สำคัญหลายประการที่องค์กรควรนำไปใช้เพื่อป้องกันจาก Medusa และภัยคุกคามที่คล้ายคลึงกัน เหล่านี้รวมถึงการแก้ไขช่องโหว่ด้านความปลอดภัยที่ทราบในระบบปฏิบัติการและซอฟต์แวร์ การใช้การแบ่งส่วนเครือข่ายเพื่อจำกัดการละเมิดที่อาจเกิดขึ้น การกรองการจราจรเครือข่าย การปิดใช้งานพอร์ตที่ไม่ได้ใช้ และการจัดทำแผนการกู้คืนข้อมูลที่ครอบคลุมพร้อมการสำรองข้อมูลแบบออฟไลน์

คำแนะนำในการป้องกัน:

  • อัปเดตระบบปฏิบัติการ ซอฟต์แวร์ และเฟิร์มแวร์
  • ใช้การแบ่งส่วนเครือข่าย
  • กรองการจราจรของเครือข่าย
  • ปิดพอร์ตที่ไม่ได้ใช้งาน
  • สร้างข้อมูลสำรองแบบออฟไลน์
  • เปิดใช้งานการยืนยันตัวตนหลายขั้นตอน
  • ใช้รหัสผ่านที่ยาวแทนการเปลี่ยนรหัสผ่านบ่อยๆ
  • ตรวจสอบกิจกรรมเครือข่ายที่ผิดปกติ

เน้นการยืนยันตัวตนและการตรวจสอบ

ผู้เชี่ยวชาญด้านความปลอดภัยเน้นย้ำถึงความสำคัญของการเปิดใช้งานการยืนยันตัวตนหลายปัจจัยสำหรับบริการทั้งหมดรวมถึงอีเมลและ VPN ซึ่งตรงข้ามกับคำแนะนำด้านความปลอดภัยแบบดั้งเดิมบางประการ คำแนะนำนี้แนะนำให้ใช้รหัสผ่านที่ยาวและซับซ้อนแทนที่จะเปลี่ยนข้อมูลประจำตัวบ่อยๆ เนื่องจากวิธีปฏิบัติหลังนี้บางครั้งอาจนำไปสู่การเลือกรหัสผ่านที่อ่อนแอกว่า นอกจากนี้ องค์กรควรใช้เครื่องมือที่สามารถตรวจสอบและแจ้งเตือนเกี่ยวกับกิจกรรมเครือข่ายที่ผิดปกติ โดยเฉพาะการเคลื่อนที่ข้ามเครือข่ายที่อาจบ่งชี้ถึงการโจมตีที่กำลังดำเนินอยู่