กลุ่มอาชญากรรมไซเบอร์ที่ถูกติดตามภายใต้ชื่อ Storm-1175 กำลังใช้ช่องโหว่ระดับ Critical ** ใน GoAnywhere MFT เพื่อโจมตีด้วย Medusa ransomware มาเป็นระยะเวลานานเกือบหนึ่งเดือนแล้ว

ช่องโหว่ CVE-2025-10035 ใน GoAnywhere MFT ของ Fortra ซึ่งเป็นเครื่องมือโอนย้ายข้อมูลบนเว็บอย่างปลอดภัย ซึ่งเกิดจากการที่ License Servlet มีช่องโหว่ในการจัดการข้อมูลที่ไม่น่าเชื่อถือ ช่องโหว่นี้สามารถถูกโจมตีจากระยะไกลได้ง่าย โดยไม่จำเป็นต้องมีการโต้ตอบจากผู้ใช้

Shadowserver Foundation กำลังตรวจสอบ GoAnywhere MFT กว่า 500 ตัวที่ออนไลน์อยู่ เพื่อดูจำนวนที่ได้รับการอัปเดต โดยนักวิเคราะห์ด้านความปลอดภัยได้ติดตามเรื่องนี้อย่างใกล้ชิด

Fortra ได้ออกแพตช์สำหรับช่องโหว่นี้เมื่อวันที่ 18 กันยายน 2025 ซึ่งไม่ได้ระบุถึงการโจมตีที่เกิดขึ้นจริง อย่างไรก็ตาม ทีมวิจัยด้านความปลอดภัยจาก WatchTower Labs พบหลักฐานที่น่าเชื่อถือยืนยันได้ว่า ช่องโหว่ CVE-2025-10035 ถูกนำไปใช้ประโยชน์ในการโจมตีแบบ zero-day มาตั้งแต่วันที่ 10 กันยายน ซึ่งเป็นเวลาหนึ่งสัปดาห์ก่อนที่แพตช์จะถูกปล่อยออกมา

ช่องโหว่ถูกใช้ในการโจมตีด้วย Medusa ransomware

ไมโครซอฟท์ได้ยืนยันรายงานของ WatchTowr Labs โดยระบุว่า กลุ่มที่เกี่ยวข้องกับ Medusa ransomware ซึ่งถูกติดตามในชื่อ Storm-1175 ได้เริ่มใช้ช่องโหว่นี้ในการโจมตีมาตั้งแต่วันที่ 11 กันยายน 2025 เป็นต้นมา

ทีมวิจัยของ Microsoft Defender พบกิจกรรมการโจมตีในหลายองค์กร ซึ่งมีรูปแบบของยุทธวิธี เทคนิค และกระบวนการ (TTPs) ที่สอดคล้องกับกลุ่ม Storm-1175 โดยในการเข้าถึงระบบครั้งแรก ผู้โจมตีได้ใช้ช่องโหว่ deserialization ใน GoAnywhere MFT ซึ่งขณะนั้นยังเป็นช่องโหว่แบบ zero-day และเพื่อรักษาการเข้าถึงอย่างต่อเนื่อง พวกเขาได้ใช้เครื่องมือควบคุมจากระยะไกล (RMM) โดยเฉพาะ SimpleHelp และ MeshAgent

ในการโจมตีครั้งถัดไป กลุ่มผู้โจมตีได้เปิดใช้งานไฟล์ไบนารี RMM, ใช้ Netscan เพื่อแสกนเครือข่าย, เรียกใช้คำสั่งเพื่อค้นหาผู้ใช้ และระบบ จากนั้นจึงขยายการโจมตีไปยังระบบต่าง ๆ ภายในเครือข่ายที่ถูกโจมตีโดยใช้ไคลเอนต์ Microsoft Remote Desktop Connection (mtsc.

CISA แจ้งเตือนปฏิบัติการของกลุ่มแรนซัมแวร์ Medusa ได้ส่งผลกระทบต่อองค์กรมากกว่า 300 แห่งในภาคส่วนโครงสร้างพื้นฐานที่สำคัญในสหรัฐอเมริกาจนถึงเมื่อเดือนที่ผ่านมา

ข้อมูลนี้ถูกเปิดเผยในคำแนะนำที่ออกมาในวันนี้ (12 มีนาคม 2025) โดยประสานงานกับสำนักงานสอบสวนกลาง (FBI) และ ศูนย์แบ่งปัน และวิเคราะห์ข้อมูลจากหลายรัฐ (MS-ISAC)

CISA, FBI และ MS-ISAC ระบุว่า "เมื่อเดือนกุมภาพันธ์ 2025 กลุ่ม Medusa และพันธมิตร โจมตีเหยื่อมากกว่า 300 รายจากหลายภาคส่วนของโครงสร้างพื้นฐานที่สำคัญ โดยอุตสาหกรรมที่ได้รับผลกระทบประกอบด้วย การแพทย์, การศึกษา, กฎหมาย, ประกันภัย, เทคโนโลยี และการผลิต"

“FBI, CISA และ MS-ISAC สนับสนุนให้องค์กรต่าง ๆ ดำเนินการตามคำแนะนำในส่วนของการลดผลกระทบตามคำแนะนำฉบับนี้ เพื่อลดโอกาส และผลกระทบจากเหตุการณ์ที่เกี่ยวข้องกับแรนซัมแวร์ Medusa”

ตามที่คำแนะนำระบุไว้ เพื่อป้องกันการโจมตีจากแรนซัมแวร์ Medusa ผู้ป้องกันระบบควรใช้มาตรการต่อไปนี้ :

ลดความเสี่ยงจากช่องโหว่ด้านความปลอดภัยที่เป็นที่รู้จัก โดยควรดำเนินการให้ระบบปฏิบัติการ ซอฟต์แวร์ และเฟิร์มแวร์ได้รับการอัปเดตแพตช์ให้เป็นเวอร์ชันล่าสุดภายในระยะเวลาที่เหมาะสม
ดำเนินการทำ Networks Segment เพื่อลดการโจมตีในลักษณะ Lateral Movement ระหว่างอุปกรณ์ที่ติดมัลแวร์ และอุปกรณ์อื่น ๆ ภายในองค์กร
Filter Network Traffic โดยปิดกั้นการเข้าถึงจากแหล่งที่มาที่ไม่รู้จัก หรือไม่น่าเชื่อถือจาก remote services มายังระบบภายใน

ปฏิบัติการของแรนซัมแวร์กลุ่มนี้ ถูกพบครั้งแรกเมื่อ 4 ปีก่อนในเดือนมกราคม 2021 แต่การดำเนินการของกลุ่มนี้เพิ่งกลับมาเพิ่มขึ้นอีกครั้งเมื่อสองปีที่แล้วในปี 2023 เมื่อพวกเขาเปิดตัวเว็บไซต์ Medusa Blog เพื่อกดดันเหยื่อให้จ่ายค่าไถ่โดยใช้ข้อมูลที่ถูกขโมยมาเป็นเครื่องมือในการต่อรอง

Medusa เปิดตัวครั้งแรกในรูปแบบแรนซัมแวร์แบบปิด โดยที่กลุ่มผู้โจมตีเพียงกลุ่มเดียวจะรับผิดชอบในการพัฒนา และการดำเนินงานทั้งหมด แม้ว่า Medusa จะพัฒนาไปเป็น Ransomware-as-a-Service (RaaS) และนำเอาโมเดลพันธมิตรมาใช้ในภายหลัง แต่ผู้พัฒนายังคงดูแลการดำเนินการที่สำคัญ รวมถึงการเจรจาค่าไถ่

“นักพัฒนาของ Medusa มักจะรับสมัคร initial access brokers (IABs) จากฟอรัมของอาชญากรไซเบอร์เพื่อขอสิทธิ์ในการเข้าถึงเหยื่อที่มีศักยภาพ อาจมีการจ่ายเงินระหว่าง 100 ดอลลาร์สหรัฐฯ ถึง 1 ล้านดอลลาร์สหรัฐฯ สำหรับพันธมิตรที่ให้ข้อมูลเหล่านี้ พร้อมเสนอโอกาสทำงานกับ Medusa โดยเฉพาะ"

นอกจากนี้ยังพบว่ากลุ่มมัลแวร์หลายกลุ่ม และปฏิบัติการอาชญากรรมทางไซเบอร์ มีการใช้ชื่อ Medusa รวมถึง botnet ที่มีพื้นฐานจาก Mirai ซึ่งมีความสามารถในการโจมตีแรนซัมแวร์ และปฏิบัติการมัลแวร์ Malware-as-a-service (MaaS) สำหรับ Android ที่ค้นพบในปี 2020 (ที่รู้จักกันในชื่อ TangleBot)

เนื่องจากการใช้ชื่อที่พบบ่อยนี้ จึงมีรายงานที่ทำให้เกิดความสับสนเกี่ยวกับแรนซัมแวร์ Medusa โดยหลายคนคิดว่าเป็นการปฏิบัติการเดียวกับ MedusaLocker ซึ่งเป็นแรนซัมแวร์ที่รู้จักกันอย่างแพร่หลาย แม้ว่าทั้งสองจะเป็นการปฏิบัติการที่แตกต่างกันโดยสิ้นเชิง

การโจมตีด้วยแรนซัมแวร์ Medusa มีแนวโน้มเพิ่มขึ้น

ตั้งแต่ที่มีการเปิดโปง กลุ่ม Medusa ได้อ้างว่ามีเหยื่อกว่า 400 รายทั่วโลก และได้รับความสนใจมากขึ้นในเดือนมีนาคม 2023 หลังจากอ้างความรับผิดชอบในการโจมตีเขตการศึกษาของรัฐมินนีแอโพลิส (MPS) และมีการแชร์วิดีโอของข้อมูลที่ถูกขโมยออกมา

กลุ่ม Medusa ยังได้ปล่อยไฟล์ที่อ้างว่าเป็นข้อมูลที่ขโมยมาจาก Toyota Financial Services ซึ่งเป็นบริษัทในเครือของ Toyota Motor Corporation บน Dark Extortion Portal ในเดือนพฤศจิกายน 2023 หลังจากที่บริษัทปฏิเสธที่จะจ่ายค่าไถ่ 8 ล้านดอลลาร์สหรัฐฯ และแจ้งลูกค้าเกี่ยวกับการละเมิดข้อมูล

ทีม Threat Hunter ของ Symantec ระบุเมื่อสัปดาห์ที่แล้ว "การโจมตีด้วยแรนซัมแวร์ Medusa เพิ่มขึ้น 42% ระหว่างปี 2023 และ 2024 และปฏิบัติการนี้ยังคงเพิ่มสูงขึ้นอย่างต่อเนื่อง โดยการโจมตีด้วย Medusa ในเดือนมกราคม และกุมภาพันธ์ 2025 เพิ่มขึ้นเกือบสองเท่าเมื่อเทียบกับสองเดือนแรกของปี 2024"

เมื่อเดือนที่แล้ว CISA และ FBI เคยได้ออกการแจ้งเตือนร่วมกัน โดยเตือนว่าผู้เสียหายจากหลายอุตสาหกรรมทั่วโลกกว่า 70 ประเทศ รวมถึงโครงสร้างพื้นฐานที่สำคัญ ได้ถูกละเมิดในเหตุการณ์โจมตีของ Ghost ransomware

ที่มา : bleepingcomputer

Toyota Financial Services (TFS) เป็นบริษัทในเครือของ Toyota Motor Corporation ซึ่งเป็นองค์กรระดับโลกที่ดำเนินธุรกิจในตลาดการขายรถยนต์ของ Toyota กว่า 90% เพื่อให้บริการสินเชื่อรถยนต์ ออกมาประกาศแจ้งเตือนลูกค้าเรื่องข้อมูลรั่วไหล ซึ่งส่งผลกระทบต่อข้อมูลส่วนบุคคล และข้อมูลทางการเงิน

เหตุการณ์นี้เกิดขึ้นเมื่อเดือนที่ผ่านมา โดยบริษัทถูกเข้าถึงระบบบางส่วนในยุโรป และแอฟริกาโดยไม่ได้รับอนุญาต ภายหลังจากที่ Medusa ransomware อ้างว่าโจมตีแผนกผู้ผลิตรถยนต์ของญี่ปุ่นสําเร็จ โดยผู้โจมตีได้เรียกค่าไถ่จำนวน 8,000,000 ดอลลาร์ เพื่อลบข้อมูลที่ขโมยมา และให้เวลา Toyota 10 วันในการติดต่อกลับ

โดย Toyota ให้ข้อมูลกับ BleepingComputer เพิ่มเติมว่า เมื่อทราบถึงเหตุการณ์ดังกล่าว บริษัทได้ทำการออฟไลน์ระบบบางระบบเพื่อปิดช่องโหว่ ทำให้ส่งผลกระทบต่อการบริการลูกค้า

ทั้งนี้ สันนิษฐานว่า Toyota ยังไม่ได้มีการเจรจาการจ่ายค่าไถ่กับผู้โจมตี ทำให้ขณะนี้ข้อมูลทั้งหมดถูกปล่อยออกมาบนพอร์ทัลของ Medusa บนดาร์กเว็บ

เมื่อต้นเดือนที่ผ่านมา Toyota Kreditbank GmbH ในเยอรมนี ซึ่งเป็นหนึ่งในหน่วยงานที่ได้รับผลกระทบจากเหตุการณ์ในครั้งนี้ ได้ออกมายอมรับว่าแฮ็กเกอร์สามารถเข้าถึงข้อมูลส่วนบุคคลของลูกค้า ส่งผลให้ข้อมูลของลูกค้าจำนวนหนึ่งถูกขโมยออกไป โดยสำนักข่าว Heise ของเยอรมนี ได้รับตัวอย่างแถลงการณ์ที่ Toyota ส่งถึงลูกค้าชาวเยอรมัน แจ้งว่าข้อมูลรั่วไหลประกอบด้วยข้อมูลดังต่อไปนี้

ชื่อ
ที่อยู่
ข้อมูลสัญญา
รายละเอียดการเช่าซื้อ
IBAN (หมายเลขบัญชีธนาคารระหว่างประเทศ)

โดยข้อมูลที่ถูกขโมยไปเพียงพอสำหรับการนำมาใช้โจมตีแบบฟิชชิ่ง การหลอกลวง และการทำธุรกรรมทางการเงิน รวมถึงการขโมยข้อมูลส่วนบุคคล ดังนั้นจึงควรระมัดระวังความผิดปกติที่อาจจะเกิดขึ้น

อย่างไรก็ตามการตรวจสอบยังไม่เสร็จสิ้น และยังมีความเป็นไปได้ที่ผู้โจมตีจะสามารถเข้าถึงข้อมูลเพิ่มเติม โดยทาง Toyota กำลังดำเนินการตรวจสอบอย่างละเอียด และหากพบว่ามีการเปิดเผยข้อมูลเพิ่มเติม คาดว่าบริษัทจะรีบแจ้งให้ผู้ที่ได้รับผลกระทบทราบโดยทันที

BleepingComputer ได้ติดต่อ Toyota เพื่อขอข้อมูลเพิ่มเติม เช่น จำนวนลูกค้าที่ถูกเปิดเผย แต่ยังไม่ได้รับการตอบกลับแต่อย่างใด

ที่มา: bleepingcomputer