IT & gadget

ทำความรู้จักแรนซัมแวร์ ‘Medusa’

By นักรบ เนียมนามธรรม14 เม.ย. 2025 เวลา 6:15 น.
ทำความรู้จักแรนซัมแวร์ ‘Medusa’

การโจมตีด้วยแรนซัมแวร์ที่ชื่อว่า "Medusa" กำลังทวีความรุนแรงมากขึ้นในสหรัฐ

เมื่อเร็วๆ นี้ มีการตรวจพบการโจมตีแรนซัมแวร์ Medusa ไปยังโครงสร้างพื้นฐานที่สำคัญขององค์กรมากกว่า 300 แห่งในอุตสาหกรรมทางการแพทย์ การศึกษา กฎหมาย ประกันภัย เทคโนโลยี และภาคการผลิตใน สหรัฐ

เมื่อช่วงปี 2021 Medusa เปิดตัวครั้งแรกในรูปแบบแรนซัมแวร์แบบปิดที่ดำเนินการและจัดการโดยกลุ่มแฮกเกอร์ แม้ว่าต่อมาจะมีการเปลี่ยนเป็นการดำเนินการแบบ Ransomware-as-a-Service (RaaS) แต่ผู้พัฒนา Medusa ยังคงดูแลการดำเนินการเรื่องที่สำคัญๆ ต่อไปอยู่ โดยเฉพาะการเจรจาเรียกค่าไถ่เหยื่อ

Medusa เริ่มออกปฏิบัติการจริงในปี 2023 จากการปล่อยรายละเอียดเว็บไซต์ที่รั่วไหลเพื่อกดดันให้เหยื่อยอมจ่ายเงินค่าไถ่และใช้ข้อมูลที่ขโมยมาเป็นตัวต่อรอง โดยอาศัยการเข้าถึงเครือข่ายผ่านโบรกเกอร์ IAB (Initial Access Broker) ในตลาดมืด โดยพันธมิตรเหล่านี้จะได้รับเงินตอบแทนตั้งแต่ 100 ดอลลาร์สหรัฐถึง 1 ล้านดอลลาร์สหรัฐ พร้อมกับข้อเสนอที่เปิดโอกาสให้สามารถทำงานร่วมกับ Medusa

การโจมตีด้วยแรนซัมแวร์ Medusa กำลังทวีความรุนแรงมากขึ้นในสหรัฐ หลังจากเกิดเหตุการณ์โจมตีโรงเรียนในเมืองใหญ่

อย่าง มินนิอาโปลิส และการปล่อยไฟล์ขโมยมาจาก Toyota Financial Services ให้รั่วไหลบนดาร์กเว็บ เมื่อบริษัท Toyota ตัดสินใจปฏิเสธที่จะจ่ายเงินค่าไถ่ 8 ล้านดอลลาร์และแจ้งให้ลูกค้าทราบถึงการละเมิดข้อมูลที่เกิดขึ้น         

จากการสำรวจพบว่า การโจมตีด้วยแรนซัมแวร์ Medusa เพิ่มขึ้น 42% ช่วงปี 2023 ถึง 2024 แต่ที่น่าตกใจคือ การโจมตีเพิ่มขึ้นเกือบ 2 เท่าในเดือนมกราคมและกุมภาพันธ์ 2025 เมื่อเทียบกับช่วงเวลาเดียวกันของปีที่แล้ว และมีแนวโน้มเพิ่มขึ้นอย่างต่อเนื่องในหลายภาคอุตสาหกรรมในกว่า 70 ประเทศรวมถึงโครงสร้างพื้นฐานที่สำคัญ ด้วยสาเหตุนี้ทำให้เจ้าหน้าที่ทางการของสหรัฐฯ ที่เกี่ยวข้องได้ออกประกาศคำแนะนำเพื่อป้องกันและลดโอกาสผลกระทบจากแรนซัมแวร์ Medusa ดังนี้

ลดช่องโหว่ทางด้านความปลอดภัยที่ตรวจพบ เพื่อให้แน่ใจว่าระบบปฏิบัติการ ซอฟต์แวร์ และเฟิร์มแวร์ได้รับการแก้ไขภายในกรอบเวลาที่เหมาะสม

เนื้อหาที่เกี่ยวข้อง

แบ่งแยกเครือข่าย เพื่อจำกัดการแพร่ระหว่างอุปกรณ์ที่ถูกโจมตีและอุปกรณ์อื่น ๆ ภายในองค์กร และคัดแยก network traffic โดยบล็อกการเข้าถึงจากแหล่งที่มาที่ไม่รู้จักหรือไม่น่าเชื่อถือและการรีโมทเข้าในระบบภายใน

แต่ยังมีเรื่องที่หลายท่านยังคงไม่ทราบคือ กลุ่มมัลแวร์และกลุ่มที่อาชญากรรมทางไซเบอร์หลายกลุ่มก็เรียกตัวเองว่า Medusa ซึ่งรวมถึงบอตเน็ตที่ใช้ Mirai ซึ่งมีความสามารถในการโจมตีด้วยแรนซัมแวร์ และปฏิบัติการมัลแวร์แบบ Malware-as-a-Service (MaaS)

หลายท่านยังมีความสบสันคิดว่า แรนซัมแวร์ Medusa เป็นปฏิบัติการเดียวกันกับแรนซัมแวร์ MedusaLocker ซึ่งเป็นที่รู้จักกันอย่างแพร่หลาย ทั้งๆ ที่ในความเป็นจริงแล้วเป็นปฏิบัติการที่แตกต่างกันโดยสิ้นเชิงก็ตามครับ