ช่องโหว่ RCE ใหม่ใน Veeam ทำให้ Users บน Domain สามารถเข้าถึง Backup Servers ได้

Veeam ได้เผยแพร่การอัปเดตเพื่อแก้ไขช่องโหว่หลายรายการของ Veeam Backup & Replication (VBR) ซึ่งรวมถึงช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ระดับ Critical

CVE-2025-23121 (คะแนน CVSS 9.9/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ที่ทำให้ผู้ใช้งานในโดเมนที่ผ่านการยืนยันตัวตน สามารถเรียกใช้โค้ดได้ตามที่ต้องการบน Backup Server ได้ ด้วยวิธีการโจมตีที่มีความซับซ้อนต่ำ ซึ่งอาจส่งผลกระทบต่อความสมบูรณ์ของข้อมูลสำรอง

โดยช่องโหว่ดังกล่าวส่งผลกระทบต่อ Veeam Backup & Replication 12 หรือใหม่กว่า และได้รับการแก้ไขช่องโหว่แล้วในเวอร์ชัน 12.3.2.3617 โดยช่องโหว่ถูกพบโดยนักวิจัยด้านความปลอดภัยที่ watchTowr และ CodeWhite

แม้ว่า CVE-2025-23121 จะส่งผลต่อการติดตั้ง Veeam Backup & Replication (VBR) ที่เชื่อมโยงกับโดเมนเท่านั้น แต่ผู้ใช้งานใด ๆ ในโดเมน ก็สามารถโจมตีโดยใช้ช่องโหว่ CVE-2025-23121 ได้ ทำให้เกิดการโจมตีได้ง่ายในระบบที่มี configurations ในลักษณะดังกล่าว

ทั้งนี้บริษัทหลายแห่งได้รวม Backup Servers ของตนเข้ากับ Windows Domain โดยไม่ได้ปฏิบัติตาม Veeam's Best Practices ซึ่งแนะนำให้ผู้ดูแลระบบใช้ Active Directory Forest แยกต่างหาก และปกป้องบัญชีผู้ดูแลระบบด้วยการยืนยันตัวตนแบบ Two-Factor Authentication

ในเดือนมีนาคม 2025 Veeam ได้แก้ไขช่องโหว่ RCE อีกรายการหนึ่ง (CVE-2025-23120) ในซอฟต์แวร์ Backup & Replication ของ Veeam ซึ่งส่งผลกระทบต่อ Domain-Joined Installations

กลุ่ม Ransomware เคยให้ข้อมูลกับ BleepingComputer เมื่อหลายปีก่อนว่า พวกเขามักจะโจมตี VBR servers เสมอ เนื่องจากทำให้การขโมยข้อมูลของเหยื่อง่ายขึ้น และป้องกันการกู้คืนข้อมูลด้วยการลบข้อมูลสำรอง ก่อนที่จะนำเพย์โหลดของ Ransomware ไปใช้งานบนเครือข่ายของเหยื่อ

ตามที่ทีม Sophos X-Ops incident responders เปิดเผยในเดือนพฤศจิกายน 2024 ช่องโหว่ VBR RCE อีกรายการ (CVE-2024-40711) ที่ถูกเปิดเผยในเดือนกันยายน 2024 กำลังถูกใช้เพื่อติดตั้ง Frag ransomware

ช่องโหว่เดียวกันนี้ยังถูกใช้เพื่อเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลบน Veeam backup servers ที่มีช่องโหว่ในการโจมตีด้วย Akira ransomware และ Fog ransomware ซึ่งเริ่มโจมตีตั้งแต่เดือนตุลาคม 2024

ในอดีตกลุ่ม Cuba ransomware และ FIN7 ซึ่งเป็นกลุ่ม Hacker ที่มีเป้าหมายทางด้านการเงิน ที่มักจะร่วมมือกับกลุ่ม ransomware อื่น ๆ เช่น Conti, REvil, Maze, Egregor และ BlackBasta ก็พบว่าใช้จากช่องโหว่ VBR ในการโจมตีเช่นกัน

ผลิตภัณฑ์ของ Veeam ถูกใช้งานโดยลูกค้ามากกว่า 550,000 รายทั่วโลก รวมถึงบริษัทในกลุ่ม Fortune 500 ถึง 82% และบริษัทในกลุ่ม Global 2,000 ถึง 74%

ที่มา : bleepingcomputer

ยักษ์ใหญ่วงการสื่อ Lee Enterprises ยืนยันการถูกละเมิดข้อมูลส่งผลกระทบต่อประชาชน 39,000 ราย

บริษัทสื่อยักษ์ใหญ่ Lee Enterprises แจ้งเตือนผู้ใช้งานเกือบ 40,000 รายว่าข้อมูลส่วนบุคคลถูกขโมยจากเหตุการณ์แรนซัมแวร์ในเดือนกุมภาพันธ์ 2025 โดยบริษัทเป็นผู้จัดพิมพ์หนังสือพิมพ์รายวัน 77 ฉบับ และสิ่งพิมพ์รายสัปดาห์กว่า 350 ฉบับ ครอบคลุม 26 รัฐ มีผู้อ่านฉบับพิมพ์กว่า 1.2 ล้านรายต่อวัน และผู้อ่านดิจิทัลนับสิบล้านรายต่อเดือน

Lee Enterprises ได้ยื่นเอกสารต่อสำนักงานอัยการรัฐเมนเมื่อสัปดาห์นี้ โดยเปิดเผยว่า จากเหตุการณ์ถูกโจมตีด้วยแรนซัมแวร์ในเดือนกุมภาพันธ์ 2025 แฮ็กเกอร์ได้ขโมยเอกสารที่มีข้อมูลส่วนบุคคลของผู้ใช้งานกว่า 39,779 ราย ซึ่งถูกเข้าถึงโดยไม่ได้รับอนุญาตเมื่อวันที่ 3 กุมภาพันธ์ โดยข้อมูลที่รั่วไหลประกอบไปด้วยชื่อ-นามสกุล และหมายเลขประกันสังคม

(more…)

Nova Scotia Power ยืนยันการถูกโจมตีด้วยแรนซัมแวร์ มีลูกค้าได้รับผลกระทบ 280,000 ราย

Nova Scotia Power ออกมายืนยันอย่างเป็นทางการว่าตกเป็นเหยื่อของการโจมตีด้วยแรนซัมแวร์ ซึ่งส่งผลให้ข้อมูลส่วนบุคคลลูกค้าราว 280,000 รายถูกละเมิด

บริษัทสาธารณูปโภคจากแคนาดาระบุเมื่อวันศุกร์ที่ผ่านมาว่า กลุ่มผู้โจมตีสามารถแทรกซึมเข้าสู่ระบบเครือข่ายขององค์กรได้สำเร็จ และได้ทำการเผยแพร่ข้อมูลที่ถูกขโมยออกไป หลังจากที่บริษัทปฏิเสธที่จะจ่ายค่าไถ่ตามที่ถูกเรียกร้อง (more…)

Ascension เปิดเผยการละเมิดข้อมูลล่าสุด ส่งผลกระทบต่อผู้ป่วยมากกว่า 430,000 ราย

Ascension ซึ่งเป็นหนึ่งในระบบบริการสุขภาพเอกชนที่ใหญ่ที่สุดในสหรัฐอเมริกา ได้เปิดเผยว่าข้อมูลส่วนบุคคล และข้อมูลด้านสุขภาพของผู้ป่วยมากกว่า 430,000 ราย ถูกเปิดเผยในเหตุการณ์การละเมิดข้อมูลที่ถูกเปิดเผยเมื่อเดือนที่ผ่านมา (more…)

Qilin Ransomware ได้รับการจัดอันดับสูงสุดในเดือนเมษายน 2025 จากการเปิดเผยข้อมูลที่รั่วไหลของเหยื่อ 72 ราย

ผู้ไม่หวังดีที่มีความเชื่อมโยงกับกลุ่ม Qilin ransomware ได้ใช้มัลแวร์ชื่อ SmokeLoader ร่วมกับ .NET compiled loader ที่ไม่เคยถูกเปิดเผยมาก่อน โดยมีชื่อรหัสว่า NETXLOADER ซึ่งเป็นส่วนหนึ่งของแคมเปญที่ถูกตรวจพบในเดือนพฤศจิกายน 2024 (more…)

พบเทคนิคการ Bypass EDR รูปแบบใหม่ในชื่อ “Bring Your Own Installer” ที่ใช้ในการโจมตีด้วย Ransomware

พบเทคนิค EDR bypass "Bring Your Own Installer" รูปแบบใหม่ ที่ถูกใช้ประโยชน์ในการโจมตีเพื่อ bypass คุณสมบัติการป้องกันการปลอมแปลง (tamper protection feature) ของ SentinelOne ทำให้ Hacker สามารถปิดใช้งาน endpoint detection and response (EDR) (more…)

แรนซัมแวร์ VanHelsing ตัวใหม่โจมตีระบบ Windows, ARM และ ESXi

พบการโจมตีของ ransomware-as-a-service (RaaS) ตัวใหม่ที่ชื่อ VanHelsing โดยกำหนดเป้าหมายไปที่ระบบ Windows, Linux, BSD, ARM และ ESXi

โดย VanHelsing ได้รับการโปรโมตบนแพลตฟอร์มใต้ดินของอาชญากรรมไซเบอร์เป็นครั้งแรกเมื่อวันที่ 7 มีนาคม 2025 โดยเปิดให้ผู้โจมตีที่มีประสบการณ์เข้าร่วมฟรี ในขณะที่ผู้โจมตีที่มีประสบการณ์น้อยกว่าต้องวางเงินมัดจำ 5,000 ดอลลาร์

การทำงานของแรนซัมแวร์ตัวใหม่นี้ถูกรายงานครั้งแรกโดย CYFIRMA เมื่อสัปดาห์ที่แล้ว ในขณะที่ Check Point Research ได้เผยแพร่การวิเคราะห์เชิงลึกเพิ่มเติมเมื่อวันที่ 23 มีนาคม 2025

ภายในแรนซัมแวร์ VanHelsing

นักวิเคราะห์จาก Check Point รายงานว่า VanHelsing เป็นโครงการอาชญากรรมไซเบอร์จากรัสเซียที่ห้ามไม่ให้โจมตีระบบภายในประเทศ CIS (Commonwealth of Independent States)

โดยในส่วนของกลุ่มพันธมิตรที่นำ ransomware-as-a-service (RaaS) ไปใช้ จะได้รับอนุญาตให้เก็บเงินค่าไถ่ได้ 80% ในขณะที่ผู้ดำเนินการจะได้รับส่วนแบ่ง 20% และการชำระเงินจะถูกจัดการผ่าน escrow system ในรูปแบบอัตโนมัติที่ใช้ two blockchain confirmations เพื่อความปลอดภัย

กลุ่มพันธมิตรที่ได้รับการยอมรับจะได้รับสิทธิ์ในการเข้าถึง panel ที่มีการทำงานในรูปแบบอัตโนมัติ และยังได้รับการสนับสนุนโดยตรงจากทีมพัฒนา

ไฟล์ที่ถูกขโมยจากเครือข่ายของเหยื่อจะถูกจัดเก็บไว้บน VanHelsing operation servers ซึ่งทีมพัฒนาหลักอ้างว่าพวกเขาทำการทดสอบการเจาะระบบเป็นประจำเพื่อให้แน่ใจถึงความปลอดภัยระดับสูง และความน่าเชื่อถือของระบบ

ปัจจุบัน extortion portal ของ VanHelsing บน Dark Web ซึ่งระบุว่ามีเป้าหมาย 3 ราย โดยสองรายอยู่ในสหรัฐอเมริกา และอีกหนึ่งรายในฝรั่งเศส โดยหนึ่งในเป้าหมายคือ เมืองในรัฐเท็กซัส ส่วนอีกสองรายคือ บริษัทเทคโนโลยี

ตัวอย่างข้อมูลที่กลุ่มแรนซัมแวร์ขู่จะปล่อยไฟล์ที่ขโมยมาในไม่กี่วันข้างหน้าหากไม่เป็นไปตามข้อเรียกร้องในการเรียกค่าไถ่ ซึ่งจากการตรวจสอบของ Check Point การเรียกค่าไถ่อยู่ที่ 500,000 ดอลลาร์

Stealth mode

แรนซัมแวร์ VanHelsing เขียนด้วยภาษา C++ และมีหลักฐานที่แสดงให้เห็นว่ามีการโจมตีครั้งแรกเมื่อ 16 มีนาคม 2025

VanHelsing ใช้อัลกอริธึม ChaCha20 สำหรับการเข้ารหัสไฟล์ โดยสร้าง 32-byte (256-bit) symmetric key และ 12-byte nonce สำหรับแต่ละไฟล์

จากนั้นค่านี้จะถูกเข้ารหัสด้วย Curve25519 public key ที่ฝังไว้ และในส่วนของคู่ encrypted key/nonce จะถูกเก็บไว้ในไฟล์ที่ถูกเข้ารหัส

VanHelsing เข้ารหัสไฟล์ที่มีขนาดใหญ่กว่า 1GB เพียงบางส่วน แต่จะดำเนินการเข้ารหัสทั้งหมดในไฟล์ที่มีขนาดเล็กกว่า

มัลแวร์นี้รองรับการปรับแต่ง CLI ที่หลากหลายเพื่อปรับแต่งการโจมตีให้สอดคล้องกับแต่ละเป้าหมาย เช่น การโจมตีไดรฟ์ และโฟลเดอร์เฉพาะ, การจำกัดขอบเขตของการเข้ารหัส, การแพร่กระจายผ่าน SMB, การ skipping การลบ Shadow Copies และการเปิดใช้งาน two-phase stealth mode

ในโหมดการเข้ารหัสแบบปกติ VanHelsing จะทำการตรวจสอบไฟล์ และโฟลเดอร์ รวมถึงทำการเข้ารหัสเนื้อหาของไฟล์ และทำการเปลี่ยนชื่อไฟล์ที่เข้ารหัสโดยการเพิ่มนามสกุล ".vanhelsing"

โดย Stealth mode แรนซัมแวร์จะแยกการเข้ารหัสออกจากการเปลี่ยนชื่อไฟล์ ซึ่งมีแนวโน้มที่จะทำให้เกิดการแจ้งเตือนน้อยลง เนื่องจากรูปแบบ I/O ของไฟล์เลียนแบบพฤติกรรมปกติของระบบ

แม้ว่า security tools จะตอบสนองในช่วงเริ่มต้นของขั้นตอนการเปลี่ยนชื่อ แต่ในครั้งถัดไป ชุดข้อมูลที่ถูกโจมตีทั้งหมดจะถูกเข้ารหัสไปแล้ว

แม้ว่า VanHelsing จะดูเหมือนเป็นแรนซัมแวร์ที่มีความซับซ้อน และพัฒนาอย่างรวดเร็ว แต่ Check Point ก็สังเกตเห็นช่องโหว่บางอย่างที่แสดงให้เห็นถึงความไม่สมบูรณ์ของโค้ด

ช่องโหว่อาทิ เช่น ข้อมูลไม่ตรงกันของนามสกุลไฟล์, ช่องโหว่ใน logic ของรายการที่มีการยกเว้น ซึ่งอาจทำให้เกิดการเข้ารหัสซ้ำ และบางคำสั่งที่ยังไม่ได้ implement

แม้ว่าจะมีช่องโหว่เหล่านี้เกิดขึ้น แต่ VanHelsing ยังคงเป็นภัยคุกคามที่น่ากังวล และดูเหมือนว่าจะเริ่มได้รับความสนใจในเร็ว ๆ นี้

ที่มา : bleepingcomputer.

กลุ่ม Ransomware สร้างเครื่องมือสำหรับการโจมตีแบบ Automate Brute-force VPN

Ransomware Black Basta ได้สร้าง Automated Brute-forcing Framework เรียกว่า "BRUTED" เพื่อเจาะอุปกรณ์เครือข่ายไฟร์วอลล์ และ VPN โดย Büyükkaya นักวิจัยที่ค้นพบระบุว่า Black Basta ได้ใช้ BRUTED มาตั้งแต่ปี 2023 เพื่อโจมตีแบบ Credential-stuffing

จากการวิเคราะห์ Code แสดงให้เห็นว่า Framework นี้ได้รับการออกแบบมาเพื่อ Brute-force Credentials บนระบบ VPN และการเข้าถึงจากระยะไกลบนบนผลิตภัณฑ์ SonicWall NetExtender, Palo Alto GlobalProtect, Cisco AnyConnect, Fortinet SSL VPN, Citrix NetScaler (Citrix Gateway), Microsoft RDWeb (Remote Desktop Web Access) และ WatchGuard SSL VPN

Framework จะค้นหาอุปกรณ์ที่เข้าถึงได้จาก Public ที่ตรงกับรายการเป้าหมาย โดยการใช้ Subdomain Enumeration หรือการระบุที่อยู่ IP และการเพิ่มคำนำหน้าเช่น ".vpn" หรือ "remote" และข้อมูลจะถูกส่งกลับไปยังเซิร์ฟเวอร์ C2 ของผู้โจมตี

เมื่อระบุเป้าหมายได้ BRUTED จะดึงข้อมูลรหัสผ่านที่น่าจะเป็นไปได้จาก remote server และร่วมกับการคาดเดารหัส โดย Framework สามารถดึงชื่อ Common Name (CN) และ Subject Alternative Names (SAN) ออกจาก SSL certificates ของอุปกรณ์เป้าหมายได้ ซึ่งจะช่วยสร้างการคาดเดารหัสผ่านที่น่าจะเป็นไปได้เพิ่มเติมตามโดเมน และการตั้งชื่อของเป้าหมาย

ต่อมาคือการทำ Authentication ทดลอง Login หลายครั้ง ผ่าน CPU หลายตัว ซึ่งมี Code ตัวอย่างจากนักวิจัย แสดงให้เห็นว่ามี Code เฉพาะของแต่ละอุปกรณ์ที่เป็นเป้าหมาย โดยที่มีการใช้ Proxy SOCKS5 เพื่อหลีกเลี่ยงการตรวจจับเพิ่มเติม

BRUTED ยังช่วยเพิ่มประสิทธิภาพการทำงานของกลุ่ม Ransomware เนื่องจากความสามารถในการพยายามเจาะเครือข่ายจำนวนมากพร้อมกัน ส่งผลให้มีโอกาสโจมตีสำเร็จมากขึ้น

แนวทางการป้องกันที่สำคัญคือ การบังคับใช้รหัสผ่านที่คาดเดาได้ยาก และไม่ซ้ำกันของแต่ละอุปกรณ์ รวมถึงบัญชี VPN ทั้งหมด และใช้การยืนยันตัวตนแบบหลายปัจจัย (MFA) เพื่อบล็อกการเข้าถึง แม้ว่า Credential จะถูก Compromise ไปแล้วก็ตาม นอกจากนี้ควร Monitor การ Authentication จากตำแหน่งที่ผิดปกติ และการพยายามเข้าสู่ระบบไม่สำเร็จปริมาณมาก รวมถึงกำหนด Policy สำหรับจำกัดการ Login

ที่มา : bleepingcomputer

CISA แจ้งเตือน Medusa Ransomware โจมตีองค์กรโครงสร้างพื้นฐานที่สำคัญกว่า 300 แห่ง

CISA แจ้งเตือนปฏิบัติการของกลุ่มแรนซัมแวร์ Medusa ได้ส่งผลกระทบต่อองค์กรมากกว่า 300 แห่งในภาคส่วนโครงสร้างพื้นฐานที่สำคัญในสหรัฐอเมริกาจนถึงเมื่อเดือนที่ผ่านมา

ข้อมูลนี้ถูกเปิดเผยในคำแนะนำที่ออกมาในวันนี้ (12 มีนาคม 2025) โดยประสานงานกับสำนักงานสอบสวนกลาง (FBI) และ ศูนย์แบ่งปัน และวิเคราะห์ข้อมูลจากหลายรัฐ (MS-ISAC)

CISA, FBI และ MS-ISAC ระบุว่า "เมื่อเดือนกุมภาพันธ์ 2025 กลุ่ม Medusa และพันธมิตร โจมตีเหยื่อมากกว่า 300 รายจากหลายภาคส่วนของโครงสร้างพื้นฐานที่สำคัญ โดยอุตสาหกรรมที่ได้รับผลกระทบประกอบด้วย การแพทย์, การศึกษา, กฎหมาย, ประกันภัย, เทคโนโลยี และการผลิต"

“FBI, CISA และ MS-ISAC สนับสนุนให้องค์กรต่าง ๆ ดำเนินการตามคำแนะนำในส่วนของการลดผลกระทบตามคำแนะนำฉบับนี้ เพื่อลดโอกาส และผลกระทบจากเหตุการณ์ที่เกี่ยวข้องกับแรนซัมแวร์ Medusa”

ตามที่คำแนะนำระบุไว้ เพื่อป้องกันการโจมตีจากแรนซัมแวร์ Medusa ผู้ป้องกันระบบควรใช้มาตรการต่อไปนี้ :

ลดความเสี่ยงจากช่องโหว่ด้านความปลอดภัยที่เป็นที่รู้จัก โดยควรดำเนินการให้ระบบปฏิบัติการ ซอฟต์แวร์ และเฟิร์มแวร์ได้รับการอัปเดตแพตช์ให้เป็นเวอร์ชันล่าสุดภายในระยะเวลาที่เหมาะสม
ดำเนินการทำ Networks Segment เพื่อลดการโจมตีในลักษณะ Lateral Movement ระหว่างอุปกรณ์ที่ติดมัลแวร์ และอุปกรณ์อื่น ๆ ภายในองค์กร
Filter Network Traffic โดยปิดกั้นการเข้าถึงจากแหล่งที่มาที่ไม่รู้จัก หรือไม่น่าเชื่อถือจาก remote services มายังระบบภายใน

ปฏิบัติการของแรนซัมแวร์กลุ่มนี้ ถูกพบครั้งแรกเมื่อ 4 ปีก่อนในเดือนมกราคม 2021 แต่การดำเนินการของกลุ่มนี้เพิ่งกลับมาเพิ่มขึ้นอีกครั้งเมื่อสองปีที่แล้วในปี 2023 เมื่อพวกเขาเปิดตัวเว็บไซต์ Medusa Blog เพื่อกดดันเหยื่อให้จ่ายค่าไถ่โดยใช้ข้อมูลที่ถูกขโมยมาเป็นเครื่องมือในการต่อรอง

Medusa เปิดตัวครั้งแรกในรูปแบบแรนซัมแวร์แบบปิด โดยที่กลุ่มผู้โจมตีเพียงกลุ่มเดียวจะรับผิดชอบในการพัฒนา และการดำเนินงานทั้งหมด แม้ว่า Medusa จะพัฒนาไปเป็น Ransomware-as-a-Service (RaaS) และนำเอาโมเดลพันธมิตรมาใช้ในภายหลัง แต่ผู้พัฒนายังคงดูแลการดำเนินการที่สำคัญ รวมถึงการเจรจาค่าไถ่

“นักพัฒนาของ Medusa มักจะรับสมัคร initial access brokers (IABs) จากฟอรัมของอาชญากรไซเบอร์เพื่อขอสิทธิ์ในการเข้าถึงเหยื่อที่มีศักยภาพ อาจมีการจ่ายเงินระหว่าง 100 ดอลลาร์สหรัฐฯ ถึง 1 ล้านดอลลาร์สหรัฐฯ สำหรับพันธมิตรที่ให้ข้อมูลเหล่านี้ พร้อมเสนอโอกาสทำงานกับ Medusa โดยเฉพาะ"

นอกจากนี้ยังพบว่ากลุ่มมัลแวร์หลายกลุ่ม และปฏิบัติการอาชญากรรมทางไซเบอร์ มีการใช้ชื่อ Medusa รวมถึง botnet ที่มีพื้นฐานจาก Mirai ซึ่งมีความสามารถในการโจมตีแรนซัมแวร์ และปฏิบัติการมัลแวร์ Malware-as-a-service (MaaS) สำหรับ Android ที่ค้นพบในปี 2020 (ที่รู้จักกันในชื่อ TangleBot)

เนื่องจากการใช้ชื่อที่พบบ่อยนี้ จึงมีรายงานที่ทำให้เกิดความสับสนเกี่ยวกับแรนซัมแวร์ Medusa โดยหลายคนคิดว่าเป็นการปฏิบัติการเดียวกับ MedusaLocker ซึ่งเป็นแรนซัมแวร์ที่รู้จักกันอย่างแพร่หลาย แม้ว่าทั้งสองจะเป็นการปฏิบัติการที่แตกต่างกันโดยสิ้นเชิง

การโจมตีด้วยแรนซัมแวร์ Medusa มีแนวโน้มเพิ่มขึ้น

ตั้งแต่ที่มีการเปิดโปง กลุ่ม Medusa ได้อ้างว่ามีเหยื่อกว่า 400 รายทั่วโลก และได้รับความสนใจมากขึ้นในเดือนมีนาคม 2023 หลังจากอ้างความรับผิดชอบในการโจมตีเขตการศึกษาของรัฐมินนีแอโพลิส (MPS) และมีการแชร์วิดีโอของข้อมูลที่ถูกขโมยออกมา

กลุ่ม Medusa ยังได้ปล่อยไฟล์ที่อ้างว่าเป็นข้อมูลที่ขโมยมาจาก Toyota Financial Services ซึ่งเป็นบริษัทในเครือของ Toyota Motor Corporation บน Dark Extortion Portal ในเดือนพฤศจิกายน 2023 หลังจากที่บริษัทปฏิเสธที่จะจ่ายค่าไถ่ 8 ล้านดอลลาร์สหรัฐฯ และแจ้งลูกค้าเกี่ยวกับการละเมิดข้อมูล

ทีม Threat Hunter ของ Symantec ระบุเมื่อสัปดาห์ที่แล้ว "การโจมตีด้วยแรนซัมแวร์ Medusa เพิ่มขึ้น 42% ระหว่างปี 2023 และ 2024 และปฏิบัติการนี้ยังคงเพิ่มสูงขึ้นอย่างต่อเนื่อง โดยการโจมตีด้วย Medusa ในเดือนมกราคม และกุมภาพันธ์ 2025 เพิ่มขึ้นเกือบสองเท่าเมื่อเทียบกับสองเดือนแรกของปี 2024"

เมื่อเดือนที่แล้ว CISA และ FBI เคยได้ออกการแจ้งเตือนร่วมกัน โดยเตือนว่าผู้เสียหายจากหลายอุตสาหกรรมทั่วโลกกว่า 70 ประเทศ รวมถึงโครงสร้างพื้นฐานที่สำคัญ ได้ถูกละเมิดในเหตุการณ์โจมตีของ Ghost ransomware

ที่มา : bleepingcomputer

SuperBlack ransomware ตัวใหม่ที่โจมตีผ่านช่องโหว่ auth bypass ของ Fortinet

กลุ่ม Ransomware ใหม่ที่ชื่อว่า 'Mora_001' กำลังใช้ประโยชน์จากช่องโหว่สองรายการใน Fortinet เพื่อเข้าถึงอุปกรณ์ Firewall โดยไม่ได้รับอนุญาต และติดตั้ง ransomware ที่ชื่อว่า SuperBlack (more…)