แจ้งเตือนการแพร่กระจาย Medusa Ransomware
-
แจ้งเตือนการแพร่กระจาย Medusa Ransomware
Thailand Computer Emergency Response Team (ThaiCERT) ตรวจพบการเผยแพร่ข่าวสารการโจมตีจาก Medusa ransomware กับระบบประกันสุขภาพของประเทศฟิลิปปินส์[1] โดย Hacker ได้เรียกร้องเงินจำนวน 300,000 ดอลลาร์สหรัฐฯ ซึ่งการโจมตีด้วย Medusa ransomware จะสามารถเข้าถึงระบบโดยผ่านการ Remote Desktop Protocols (RDP)[2] ที่มีช่องโหว่ [T1133][3] ซึ่ง Medusa ransomware ใช้ batch file to execute PowerShell script invoke-ReflectivePEInjection โดยสคริปต์นี้สามารถแพร่กระจายไปในเครือข่ายภายใน โดยการแก้ไข Enable Linked Connections ค่าภายใน Rigistry
ของเครื่องที่ติดมัลแวร์ ซึ่งจะกระจายผ่าน Internet Control Message Protocol (ICMP) และเครื่องที่มีการแชร์ใช้ร่วมกันผ่านโปรโตคอล Server Message Block (SMB) ผู้ใช้งานและผู้ดูแลระบบควรดำเนินการตรวจสอบข้อมูลระบบภายใน และทำการตรวจสอบกิจกรรมที่ไม่ได้รับอนุญาตและเปลี่ยนรหัสผ่านสำหรับบัญชีออนไลน์ทั้งหมด โดยสามารถศึกษาเพิ่มเติมและดาวน์โหลด IoCs[4] ได้ที่ https://www.cisa.gov/news-events/cybersecurity-advisories/aa22-181a
ทั้งนี้ แนะนำให้ผู้ใช้งานและผู้ดูแลปฏิบัติตามคำแนะนำเบื้องต้น ให้ดำเนินมาตรการด้านความปลอดภัยเพื่อป้องกันการเปิดเผยข้อมูลโดยไม่ได้รับอนุญาต สามารถดูรายละเอียดเพิ่มเติมได้ที่ https://www.philstar.com/headlines/2023/09/25/2298836/philhealth-hackers-demand-300000-dict และเอกสารตามที่แนบ MedusaLocker IoCs.txtอ้างอิง
- https://www.philstar.com/headlines/2023/09/25/2298836/philhealth-hackers-demand-300000-dict
- https://socradar.io/dark-web-profile-medusa-ransomware-medusalocker/
- https://attack.mitre.org/versions/v11/techniques/T1133/
- https://www.cisa.gov/news-events/cybersecurity-advisories/aa22-181a
สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand
