CISA ได้เพิ่มช่องโหว่ด้านความปลอดภัยระดับ Critical ที่ส่งผลกระทบต่อ Gladinet CentreStack เข้าไปใน Known Exploited Vulnerabilities (KEV) เมื่อวันอังคารที่ผ่านมา หลังพบหลักฐานว่ากำลังมีการใช้ช่องโหว่ดังกล่าวโจมตีระบบจริง (more…)

CISA แจ้งเตือนปฏิบัติการของกลุ่มแรนซัมแวร์ Medusa ได้ส่งผลกระทบต่อองค์กรมากกว่า 300 แห่งในภาคส่วนโครงสร้างพื้นฐานที่สำคัญในสหรัฐอเมริกาจนถึงเมื่อเดือนที่ผ่านมา

ข้อมูลนี้ถูกเปิดเผยในคำแนะนำที่ออกมาในวันนี้ (12 มีนาคม 2025) โดยประสานงานกับสำนักงานสอบสวนกลาง (FBI) และ ศูนย์แบ่งปัน และวิเคราะห์ข้อมูลจากหลายรัฐ (MS-ISAC)

CISA, FBI และ MS-ISAC ระบุว่า "เมื่อเดือนกุมภาพันธ์ 2025 กลุ่ม Medusa และพันธมิตร โจมตีเหยื่อมากกว่า 300 รายจากหลายภาคส่วนของโครงสร้างพื้นฐานที่สำคัญ โดยอุตสาหกรรมที่ได้รับผลกระทบประกอบด้วย การแพทย์, การศึกษา, กฎหมาย, ประกันภัย, เทคโนโลยี และการผลิต"

“FBI, CISA และ MS-ISAC สนับสนุนให้องค์กรต่าง ๆ ดำเนินการตามคำแนะนำในส่วนของการลดผลกระทบตามคำแนะนำฉบับนี้ เพื่อลดโอกาส และผลกระทบจากเหตุการณ์ที่เกี่ยวข้องกับแรนซัมแวร์ Medusa”

ตามที่คำแนะนำระบุไว้ เพื่อป้องกันการโจมตีจากแรนซัมแวร์ Medusa ผู้ป้องกันระบบควรใช้มาตรการต่อไปนี้ :

ลดความเสี่ยงจากช่องโหว่ด้านความปลอดภัยที่เป็นที่รู้จัก โดยควรดำเนินการให้ระบบปฏิบัติการ ซอฟต์แวร์ และเฟิร์มแวร์ได้รับการอัปเดตแพตช์ให้เป็นเวอร์ชันล่าสุดภายในระยะเวลาที่เหมาะสม
ดำเนินการทำ Networks Segment เพื่อลดการโจมตีในลักษณะ Lateral Movement ระหว่างอุปกรณ์ที่ติดมัลแวร์ และอุปกรณ์อื่น ๆ ภายในองค์กร
Filter Network Traffic โดยปิดกั้นการเข้าถึงจากแหล่งที่มาที่ไม่รู้จัก หรือไม่น่าเชื่อถือจาก remote services มายังระบบภายใน

ปฏิบัติการของแรนซัมแวร์กลุ่มนี้ ถูกพบครั้งแรกเมื่อ 4 ปีก่อนในเดือนมกราคม 2021 แต่การดำเนินการของกลุ่มนี้เพิ่งกลับมาเพิ่มขึ้นอีกครั้งเมื่อสองปีที่แล้วในปี 2023 เมื่อพวกเขาเปิดตัวเว็บไซต์ Medusa Blog เพื่อกดดันเหยื่อให้จ่ายค่าไถ่โดยใช้ข้อมูลที่ถูกขโมยมาเป็นเครื่องมือในการต่อรอง

Medusa เปิดตัวครั้งแรกในรูปแบบแรนซัมแวร์แบบปิด โดยที่กลุ่มผู้โจมตีเพียงกลุ่มเดียวจะรับผิดชอบในการพัฒนา และการดำเนินงานทั้งหมด แม้ว่า Medusa จะพัฒนาไปเป็น Ransomware-as-a-Service (RaaS) และนำเอาโมเดลพันธมิตรมาใช้ในภายหลัง แต่ผู้พัฒนายังคงดูแลการดำเนินการที่สำคัญ รวมถึงการเจรจาค่าไถ่

“นักพัฒนาของ Medusa มักจะรับสมัคร initial access brokers (IABs) จากฟอรัมของอาชญากรไซเบอร์เพื่อขอสิทธิ์ในการเข้าถึงเหยื่อที่มีศักยภาพ อาจมีการจ่ายเงินระหว่าง 100 ดอลลาร์สหรัฐฯ ถึง 1 ล้านดอลลาร์สหรัฐฯ สำหรับพันธมิตรที่ให้ข้อมูลเหล่านี้ พร้อมเสนอโอกาสทำงานกับ Medusa โดยเฉพาะ"

นอกจากนี้ยังพบว่ากลุ่มมัลแวร์หลายกลุ่ม และปฏิบัติการอาชญากรรมทางไซเบอร์ มีการใช้ชื่อ Medusa รวมถึง botnet ที่มีพื้นฐานจาก Mirai ซึ่งมีความสามารถในการโจมตีแรนซัมแวร์ และปฏิบัติการมัลแวร์ Malware-as-a-service (MaaS) สำหรับ Android ที่ค้นพบในปี 2020 (ที่รู้จักกันในชื่อ TangleBot)

เนื่องจากการใช้ชื่อที่พบบ่อยนี้ จึงมีรายงานที่ทำให้เกิดความสับสนเกี่ยวกับแรนซัมแวร์ Medusa โดยหลายคนคิดว่าเป็นการปฏิบัติการเดียวกับ MedusaLocker ซึ่งเป็นแรนซัมแวร์ที่รู้จักกันอย่างแพร่หลาย แม้ว่าทั้งสองจะเป็นการปฏิบัติการที่แตกต่างกันโดยสิ้นเชิง

การโจมตีด้วยแรนซัมแวร์ Medusa มีแนวโน้มเพิ่มขึ้น

ตั้งแต่ที่มีการเปิดโปง กลุ่ม Medusa ได้อ้างว่ามีเหยื่อกว่า 400 รายทั่วโลก และได้รับความสนใจมากขึ้นในเดือนมีนาคม 2023 หลังจากอ้างความรับผิดชอบในการโจมตีเขตการศึกษาของรัฐมินนีแอโพลิส (MPS) และมีการแชร์วิดีโอของข้อมูลที่ถูกขโมยออกมา

กลุ่ม Medusa ยังได้ปล่อยไฟล์ที่อ้างว่าเป็นข้อมูลที่ขโมยมาจาก Toyota Financial Services ซึ่งเป็นบริษัทในเครือของ Toyota Motor Corporation บน Dark Extortion Portal ในเดือนพฤศจิกายน 2023 หลังจากที่บริษัทปฏิเสธที่จะจ่ายค่าไถ่ 8 ล้านดอลลาร์สหรัฐฯ และแจ้งลูกค้าเกี่ยวกับการละเมิดข้อมูล

ทีม Threat Hunter ของ Symantec ระบุเมื่อสัปดาห์ที่แล้ว "การโจมตีด้วยแรนซัมแวร์ Medusa เพิ่มขึ้น 42% ระหว่างปี 2023 และ 2024 และปฏิบัติการนี้ยังคงเพิ่มสูงขึ้นอย่างต่อเนื่อง โดยการโจมตีด้วย Medusa ในเดือนมกราคม และกุมภาพันธ์ 2025 เพิ่มขึ้นเกือบสองเท่าเมื่อเทียบกับสองเดือนแรกของปี 2024"

เมื่อเดือนที่แล้ว CISA และ FBI เคยได้ออกการแจ้งเตือนร่วมกัน โดยเตือนว่าผู้เสียหายจากหลายอุตสาหกรรมทั่วโลกกว่า 70 ประเทศ รวมถึงโครงสร้างพื้นฐานที่สำคัญ ได้ถูกละเมิดในเหตุการณ์โจมตีของ Ghost ransomware

ที่มา : bleepingcomputer

CISA ได้แจ้งเตือนหน่วยงานของรัฐบาลกลางสหรัฐฯ ให้ตรวจสอบ และแก้ไขความปลอดภัยระบบของตนจากการโจมตีโดยใช้ช่องโหว่ของ Cisco และ Windows ถึงแม้ว่า CISA จะระบุว่าช่องโหว่เหล่านี้กำลังถูกใช้ในการโจมตีอย่างแพร่หลาย แต่ก็ยังไม่ได้ให้รายละเอียดที่เจาะจงเกี่ยวกับการโจมตีนี้ และใครอยู่เบื้องหลัง

(more…)

สำนักงานความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) ระบุว่า ข่าวที่มีการรายงานว่า CISA ถูกสั่งให้ไม่ติดตาม หรือรายงานเกี่ยวกับภัยคุกคามทางไซเบอร์จากรัสเซียนั้นไม่เป็นความจริง และภารกิจยังคงไม่เปลี่ยนแปลง

หน่วยงานความปลอดภัยทางไซเบอร์ของสหรัฐฯ ได้โพสต์บน X โดยระบุว่า "ภารกิจของ CISA คือการป้องกันภัยคุกคามทางไซเบอร์ทั้งหมด ที่มุ่งเป้าไปยังโครงสร้างพื้นฐานสำคัญของสหรัฐฯ รวมถึงภัยคุกคามจากรัสเซีย"

"ไม่มีการเปลี่ยนแปลงในท่าทีของ CISA การรายงานใด ๆ ที่ขัดแย้งกันนั้นเป็นเท็จ และทำลายความมั่นคงของชาติของเรา"

ข่าวนี้เกิดขึ้นหลังจากที่ The Guardian รายงานเมื่อวันเสาร์ที่ผ่านมาว่า (1 มีนาคม 2025) "รัฐบาลทรัมป์ไม่มองว่ารัสเซียเป็นภัยคุกคามทางไซเบอร์ต่อโครงสร้างพื้นฐานที่สำคัญ และผลประโยชน์ของสหรัฐฯ อีกต่อไป"

ตามรายงานดังกล่าว CISA ได้รับคำสั่งใหม่ในบันทึกภายในให้มุ่งเน้นการปกป้องระบบท้องถิ่น และภัยคุกคามจากจีน โดยไม่ได้กล่าวถึงรัสเซีย นอกจากนี้ The Guardian ยังรายงานว่า นักวิเคราะห์ของ CISA ได้รับคำสั่งด้วยวาจาว่าไม่ให้ติดตาม หรือรายงานเกี่ยวกับภัยคุกคามทางไซเบอร์ของรัสเซีย

CISA เป็นหน่วยงานของรัฐบาลสหรัฐฯ ที่รับผิดชอบในการปกป้องโครงสร้างพื้นฐานที่สำคัญ รวมถึงโครงสร้างพื้นฐานที่เกี่ยวข้องกับการเลือกตั้งจากภัยคุกคามทางไซเบอร์ และภัยคุกคามทาง Physical โดย CISA จะทำการตรวจสอบ และลดผลกระทบจากภัยคุกคามทางไซเบอร์จากศัตรูจากต่างประเทศรวมถึงรัสเซีย โดยแบ่งปันข้อมูลเกี่ยวกับภัยคุกคาม ประสานงานการตอบสนองต่อเหตุการณ์ และทำงานร่วมกับหน่วยงานของรัฐบาล และองค์กรเอกชนเพื่อเสริมสร้างการป้องกันความปลอดภัยทางไซเบอร์ระดับชาติ

ในการตอบคำถามเกี่ยวกับรายงานของ The Guardian นั้น Tricia McLaughlin ผู้ช่วยเลขานุการฝ่ายกิจการสาธารณะ กระทรวงความมั่นคงแห่งมาตุภูมิสหรัฐฯ ให้ข้อมูลกับ BleepingComputer ว่า บันทึกดังกล่าวเป็นข่าวปลอม และ CISA จะยังคงดำเนินการจัดการกับภัยคุกคามทางไซเบอร์จากรัสเซียต่อไป

McLaughlin ระบุกับ BleepingComputer ว่า "เรื่องราวทั้งหมดของ The Guardian เป็นเรื่องไร้สาระ อ้างอิงจากบันทึกที่ถูกกล่าวหาว่า รัฐบาลทรัมป์ไม่เคยออกคำสั่ง และ The Guardian ปฏิเสธที่จะให้เราดู หรือให้วันที่ของบันทึกดังกล่าว"

"CISA ยังคงมุ่งมั่นที่จะจัดการกับภัยคุกคามทางไซเบอร์ทั้งหมดที่มุ่งเป้าไปยังโครงสร้างพื้นฐานสำคัญของสหรัฐฯ รวมถึงจากรัสเซียด้วย ไม่มีการเปลี่ยนแปลงในท่าที หรือความสำคัญในด้านนี้"

TheRecord ยังรายงานเมื่อวันศุกร์ที่ผ่านมาว่า (28 กุมภาพันธ์ 2025) Pete Hegseth รัฐมนตรีว่าการกระทรวงกลาโหมได้สั่งการให้ Cyber Command หยุดปฏิบัติการโจมตีที่วางแผนไว้ ซึ่งมุ่งเป้าหมายไปที่รัสเซีย

The New York Times และ The Washington Post ยืนยันเพิ่มเติมเมื่อวันเสาร์ (1 มีนาคม 2025) โดยแหล่งข่าวระบุว่า การเปลี่ยนแปลงในท่าทีนี้มีขึ้นเพื่อให้สามารถเจรจาหยุดการรุกรานของรัสเซียในยูเครนได้

เจ้าหน้าที่ฝ่ายกลาโหมระดับอาวุโส ได้ระบุในคำแถลงเมื่อได้รับการติดต่อเกี่ยวกับการเปลี่ยนแปลงคำสั่งของ Cyber Command

โดยเจ้าหน้าที่ฝ่ายกลาโหมระบุว่า "เนื่องจากความกังวลเกี่ยวกับความปลอดภัยในการปฏิบัติการ เราไม่ให้ความเห็น หรือหารือเกี่ยวกับข่าวกรองทางไซเบอร์, แผนการ หรือการปฏิบัติการ"

"ไม่มีสิ่งใดที่มีความสำคัญต่อเลขานุการ Hegseth มากกว่าความปลอดภัยของเจ้าหน้าที่ของสหรัฐฯ ในการปฏิบัติการทุกประเภท รวมถึงในด้านไซเบอร์ด้วย"

ที่มา : bleepingcomputer

CISA ของสหรัฐฯ ได้เพิ่มช่องโหว่ด้านความปลอดภัย 2 รายการที่ส่งผลกระทบต่อ Adobe ColdFusion และ Oracle Agile Product Lifecycle Management (PLM) เข้าสู่รายการช่องโหว่ที่กำลังถูกนำไปใช้ในการโจมตีจริง (KEV) โดยอ้างอิงจากหลักฐานการถูกโจมตีจริง (more…)

Ivanti ปล่อยแพตซ์อัปเดตด้านความปลอดภัยสำหรับ Ivanti Connect Secure (ICS), Ivanti Policy Secure (IPS) และ Ivanti Secure Access Client (ISAC) เพื่อแก้ไขช่องโหว่หลายรายการ รวมถึงช่องโหว่ความรุนแรงระดับ Critical สามรายการ (more…)

หน่วยงานความปลอดภัยโครงสร้างพื้นฐาน และความปลอดภัยไซเบอร์ของสหรัฐอเมริกา (CISA) ได้เพิ่มช่องโหว่ 4 รายการลงใน Known Exploited Vulnerabilities catalog โดยเรียกร้องให้หน่วยงานของรัฐบาลกลาง และองค์กรขนาดใหญ่ทำการอัปเดตด้านความปลอดภัยโดยเร็วที่สุด (more…)

CISA (Cybersecurity and Infrastructure Security Agency) ยืนยันว่าเครื่องมอนิเตอร์ผู้ป่วย Contec CMS8000 ซึ่งผลิตโดยบริษัทจากประเทศจีน และ Epsimed MN-120 ซึ่งเป็นเครื่องมอนิเตอร์ลักษณะเดียวกัน แต่มีการเปลี่ยนชื่อ มีการส่งข้อมูลของผู้ป่วยไปยังที่อยู่ IP ที่ถูกกำหนดล่วงหน้า และมี backdoor ที่สามารถใช้ในการดาวน์โหลด และดำเนินการไฟล์ที่ไม่ได้รับการตรวจสอบ
(more…)

CISA ระบุว่าช่องโหว่ command injection (CVE-2024-12686) ใน Privileged Remote Access (PRA) และ Remote Support (RS) ของ BeyondTrust กำลังถูกนำไปใช้ในการโจมตีอย่างต่อเนื่องอยู่ในปัจจุบัน

ตามข้อกำหนด Binding Operational Directive (BOD) 22-01 หลังจากที่ช่องโหว่ได้ถูกเพิ่มเข้าไปใน Known Exploited Vulnerabilities catalog ของ CISA หน่วยงานของรัฐบาลกลางสหรัฐฯ จะต้องทำการแก้ไข รวมถึงรักษาความปลอดภัยเครือข่ายของตนจากการโจมตีที่มุ่งเป้าไปที่ช่องโหว่ดังกล่าวภายในสามสัปดาห์ หรือภายในวันที่ 3 กุมภาพันธ์ 2025

รวมถึง CISA ยังได้เพิ่มรายการช่องโหว่ command injection (CVE-2024-12356) อีกรายการที่มีความรุนแรงระดับ Critical ในผลิตภัณฑ์เดียวกันของ BeyondTrust ด้วย

BeyondTrust พบช่องโหว่ทั้ง 2 รายการ ในขณะที่กำลังสืบสวนเหตุการณ์โจมตี Remote Support SaaS instances บางส่วนในช่วงต้นเดือนธันวาคม โดย Hacker ได้ขโมย API key ออกไป ซึ่งต่อมาถูกนำไปใช้เพื่อรีเซ็ตรหัสผ่านสำหรับบัญชี local application

แม้ว่าการเปิดเผยข้อมูลของ BeyondTrust ในเดือนธันวาคม 2024 จะไม่ได้กล่าวถึงเรื่องนี้โดยตรง แต่คาดว่า Hacker น่าจะใช้ช่องโหว่ทั้ง 2 รายการเป็น Zero Days ในการโจมตีเข้าสู่ระบบของ BeyondTrust เพื่อเข้าถึงเครือข่ายของลูกค้า

ในช่วงต้นเดือนมกราคม 2025 กระทรวงการคลังเปิดเผยว่าเครือข่ายของกระทรวงถูกโจมตี โดยใช้รหัส API SaaS ของ Remote Support ที่ขโมยมาเพื่อเจาะระบบ BeyondTrust ที่หน่วยงานใช้งานอยู่

ตั้งแต่นั้นมา การโจมตีช่องโหว่ดังกล่าวก็ถูกเชื่อมโยงกับกลุ่ม Hacker ที่ได้รับการสนับสนุนจากรัฐบาลจีนในชื่อ Silk Typhoon ซึ่งเป็นที่รู้จักในด้านการโจมตีเพื่อขโมยข้อมูล และกลายเป็นที่รู้จักอย่างกว้างขวางหลังจากโจมตีเซิร์ฟเวอร์ไปแล้วประมาณ 68,500 ระบบในช่วงต้นปี 2021 โดยใช้ช่องโหว่ Zero-Days ของ Microsoft Exchange Server ProxyLogon

โดยกลุ่ม Hacker ได้มุ่งเป้าไปที่สำนักงานควบคุมทรัพย์สินต่างประเทศ (OFAC) โดยเฉพาะ ซึ่งเป็นหน่วยงานที่ดูแลโครงการคว่ำบาตรทางการค้า และเศรษฐกิจ และคณะกรรมการการลงทุนจากต่างประเทศในสหรัฐอเมริกา (CFIUS) ซึ่งตรวจสอบการลงทุนจากต่างประเทศเพื่อตรวจสอบความเสี่ยงต่อความมั่นคงของชาติ รวมถึงยังได้โจมตีระบบของสำนักงานวิจัยการเงินของกระทรวงการคลัง แต่ผลกระทบของเหตุการณ์นี้ยังอยู่ระหว่างการประเมิน เชื่อกันว่า Silk Typhoon ได้ใช้ BeyondTrust digital key ที่ขโมยมาเพื่อเข้าถึงข้อมูลที่ไม่เป็นความลับที่เกี่ยวข้องกับการดำเนินการคว่ำบาตรที่อาจเกิดขึ้นและเอกสารอื่น ๆ

BeyondTrust ระบุว่า ได้ติดตั้งแพตช์ด้านความปลอดภัยสำหรับช่องโหว่ CVE-2024-12686 และ CVE-2024-12356 บน cloud instances ทั้งหมดเรียบร้อยแล้ว อย่างไรก็ตามผู้ที่ใช้งานอินสแตนซ์ที่โฮสต์ด้วยตนเองจะต้องติดตั้งแพตช์อัปเดตด้วยตนเอง

อย่างไรก็ตาม คำแนะนำด้านความปลอดภัยที่ออกเมื่อธันวาคม 2024 ของ BeyondTrust ยังไม่ได้ระบุว่าช่องโหว่ด้านความปลอดภัยทั้ง 2 รายการนี้ได้ถูกนำไปใช้ในการโจมตี

ที่มา : bleepingcomputer.

ประชากรเกือบ 27 ล้านคนในสหรัฐอเมริกากำลังใช้น้ำจากระบบน้ำดื่มที่มีช่องโหว่ด้านความปลอดภัยทางไซเบอร์ในระดับ High หรือ Critical ตามรายงานฉบับใหม่จาก U.S. Environmental Protection Agency’s Office of the Inspector General (OIG) (more…)