យុទ្ធនាការវាយប្រហារ Medusa Ransomware

ក្រុមគំរាមកំហែងដែលមានទំនាក់ទំនងជាមួយកូរ៉េខាងជើង ដែលគេស្គាល់ថាជាក្រុម Lazarus Group ដែលត្រូវបានតាមដានថាជា Diamond Sleet និង Pompilus ត្រូវបានគេសង្កេតឃើញថាកំពុងដាក់ពង្រាយមេរោគចាប់ជំរិត Medusa ក្នុងការវាយប្រហារប្រឆាំងនឹងអង្គការមួយដែលមិនបញ្ចេញឈ្មោះនៅមជ្ឈិមបូព៌ា។ ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខបានកំណត់អត្តសញ្ញាណបន្ថែមទៀតនូវការប៉ុនប៉ងឈ្លានពានដែលមិនជោគជ័យដោយជនដូចគ្នាដែលកំណត់គោលដៅលើអង្គការថែទាំសុខភាពមួយនៅសហរដ្ឋអាមេរិក។

Medusa ដំណើរការក្រោមគំរូ ransomware-as-a-service (RaaS) ហើយត្រូវបានដាក់ឱ្យដំណើរការនៅឆ្នាំ 2023 ដោយក្រុមឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិតដែលត្រូវបានកំណត់ថាជា Spearwing។ ចាប់តាំងពីការលេចចេញមក ប្រតិបត្តិការនេះបានអះអាងពីការទទួលខុសត្រូវចំពោះការវាយប្រហារជាង 366 ដង។ ការពិនិត្យឡើងវិញនៃវិបផតថលលេចធ្លាយ Medusa បង្ហាញថា ចាប់ផ្តើមនៅក្នុងខែវិច្ឆិកា ឆ្នាំ 2025 អង្គភាពថែទាំសុខភាព និងអង្គការមិនស្វែងរកប្រាក់ចំណេញចំនួនបួនដែលមានមូលដ្ឋាននៅសហរដ្ឋអាមេរិកត្រូវបានចុះបញ្ជីជាជនរងគ្រោះ។ ទាំងនេះរួមមានអង្គការមិនស្វែងរកប្រាក់ចំណេញសុខភាពផ្លូវចិត្ត និងស្ថាប័នអប់រំដែលបម្រើកុមារអូទីស្សឹម។ វានៅតែមិនច្បាស់ថាតើឧប្បត្តិហេតុទាំងអស់ត្រូវបានសន្មតដោយផ្ទាល់ទៅលើប្រតិបត្តិករកូរ៉េខាងជើង ឬប្រសិនបើសាខា Medusa ផ្សេងទៀតទទួលខុសត្រូវចំពោះការឈ្លានពានមួយចំនួន។ ក្នុងអំឡុងពេលនោះ តម្រូវការលោះជាមធ្យមមានចំនួនប្រហែល 260,000 ដុល្លារ។

គំរូនៃការវិវត្តន៍នៃ Ransomware នៅក្នុងប្រតិបត្តិការកូរ៉េខាងជើង

ការប្រើប្រាស់ ransomware ដោយអង្គភាពអ៊ីនធឺណិតរបស់កូរ៉េខាងជើងត្រូវបានបង្កើតឡើងយ៉ាងល្អ។ នៅដើមឆ្នាំ 2021 អនុក្រុម Lazarus ដែលគេស្គាល់ថា Andariel (ហៅម្យ៉ាងទៀតថា Stonefly) បានធ្វើការវាយប្រហារនៅទូទាំងប្រទេសកូរ៉េខាងត្បូង ជប៉ុន និងសហរដ្ឋអាមេរិក ដោយប្រើក្រុមគ្រួសារ ransomware ដែលមានកម្មសិទ្ធិដូចជា SHATTEREDGLASS, Maui និង H0lyGh0st។

នៅក្នុងខែតុលា ឆ្នាំ២០២៤ ក្រុមនេះត្រូវបានភ្ជាប់ទៅនឹងការដាក់ពង្រាយ Play ransomware ដែលជាសញ្ញាបង្ហាញពីការបង្វែរយុទ្ធសាស្ត្រឆ្ពោះទៅរកការប្រើប្រាស់ ransomware ដែលមានលក់ជាលក្ខណៈពាណិជ្ជកម្ម ជាជាងការពឹងផ្អែកទាំងស្រុងលើ payload ដែលបង្កើតឡើងតាមតម្រូវការ។

ការផ្លាស់ប្តូរនេះមិនមែនកើតឡើងតែចំពោះ Andariel នោះទេ។ ភ្នាក់ងារគំរាមកំហែងកូរ៉េខាងជើងម្នាក់ទៀតគឺ Moonstone Sleet ដែលពីមុនត្រូវបានផ្សារភ្ជាប់ជាមួយនឹងមេរោគ ransomware FakePenny ផ្ទាល់ខ្លួន ត្រូវបានគេរាយការណ៍ថាបានកំណត់គោលដៅលើស្ថាប័នហិរញ្ញវត្ថុកូរ៉េខាងត្បូងដោយប្រើមេរោគ ransomware Qilin។ ជារួម ការវិវត្តទាំងនេះបង្ហាញពីការកែតម្រូវយុទ្ធសាស្ត្រកាន់តែទូលំទូលាយ ដែលប្រតិបត្តិករកូរ៉េខាងជើងកាន់តែដំណើរការជាសាខានៅក្នុងប្រព័ន្ធអេកូឡូស៊ី RaaS ដែលបានបង្កើតឡើងជំនួសឱ្យការរក្សាខ្សែសង្វាក់ឧបករណ៍ ransomware ដែលមានកម្មសិទ្ធិទាំងស្រុង។

សំណុំឧបករណ៍ប្រតិបត្តិការដែលគាំទ្រយុទ្ធនាការ Medusa

សកម្មភាពទាក់ទងនឹង Medusa ដែលសន្មតថាជារបស់ Lazarus រួមបញ្ចូលការលាយបញ្ចូលគ្នានៃមេរោគដែលបង្កើតឡើងតាមតម្រូវការ និងឧបករណ៍វាយប្រហារដែលមានជាសាធារណៈ។ ឧបករណ៍ដែលត្រូវបានសង្កេតឃើញរួមមាន៖

• RP_Proxy ជាឧបករណ៍ប្រើប្រាស់ប្រូកស៊ីដែលមានកម្មសិទ្ធិ។
• Mimikatz ដែលជាឧបករណ៍ចាក់ចោលព័ត៌មានសម្ងាត់មួយ ដែលត្រូវបានប្រើប្រាស់យ៉ាងទូលំទូលាយនៅក្នុងសកម្មភាពក្រោយការកេងប្រវ័ញ្ច។
• Comebacker ដែលជាផ្ទះខាងក្រោយផ្តាច់មុខរបស់ឡាសារ។
• InfoHook ជាអ្នកលួចព័ត៌មានដែលពីមុនមានទំនាក់ទំនងជាមួយការដាក់ពង្រាយ Comebacker។

ទោះបីជាយុទ្ធសាស្ត្រជំរិតទារប្រាក់ស្រដៀងនឹងប្រតិបត្តិការ Andariel មុនៗក៏ដោយ ក៏សកម្មភាពបច្ចុប្បន្នមិនត្រូវបានសន្មតថាជារបស់ក្រុមរង Lazarus ជាក់លាក់ណាមួយឡើយ។

ផលប៉ះពាល់ជាយុទ្ធសាស្ត្រ៖ ភាពជាក់ស្តែងនិយមលើការអភិវឌ្ឍផ្ទាល់ខ្លួន

ការទទួលយកវ៉ារ្យ៉ង់ ransomware ដូចជា Medusa និង Qilin ឆ្លុះបញ្ចាំងពីភាពជាក់ស្តែងនៃប្រតិបត្តិការ។ ការអភិវឌ្ឍ និងការថែរក្សាគ្រួសារ ransomware ផ្ទាល់ខ្លួនតម្រូវឱ្យមានធនធាន ការធ្វើតេស្ត និងហេដ្ឋារចនាសម្ព័ន្ធយ៉ាងច្រើន។ ការទាញយកអត្ថប្រយោជន៍ពីវេទិកា RaaS ដែលបានបង្កើតឡើងផ្តល់នូវការចូលប្រើប្រាស់ភ្លាមៗទៅកាន់សមត្ថភាពអ៊ិនគ្រីបដែលមានភាពចាស់ទុំ ការគាំទ្រប្រតិបត្តិការ និងយន្តការរកប្រាក់ដែលបានបង្ហាញឱ្យឃើញ។ រចនាសម្ព័ន្ធថ្លៃសេវាសម្ព័ន្ធអាចត្រូវបានចាត់ទុកថាជាការសម្របសម្រួលសមហេតុផលនៅពេលដែលថ្លឹងថ្លែងជាមួយនឹងការចំណាយលើការអភិវឌ្ឍន៍ និងការថែទាំ។

ការកំណត់គោលដៅជាប់លាប់ និងមិនមានការរឹតត្បិត

ការផ្លាស់ប្តូរឆ្ពោះទៅរកកម្មវិធី ransomware ដែលមានលក់ជាសាធារណៈ គូសបញ្ជាក់បន្ថែមទៀតអំពីការចូលរួមជាបន្តបន្ទាប់របស់កូរ៉េខាងជើងនៅក្នុងឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិតដែលជំរុញដោយហិរញ្ញវត្ថុ។ គំរូជ្រើសរើសគោលដៅបង្ហាញពីការអត់ធ្មត់តិចតួចបំផុត ដោយអង្គការនានានៅសហរដ្ឋអាមេរិក រួមទាំងអង្គភាពថែទាំសុខភាព ស្ថិតនៅក្នុងវិសាលភាព។ ខណៈពេលដែលក្រុមឧក្រិដ្ឋជនមួយចំនួនអះអាងជាសាធារណៈថាជៀសវាងគោលដៅថែទាំសុខភាពដើម្បីកាត់បន្ថយផលប៉ះពាល់កេរ្តិ៍ឈ្មោះ គ្មានដែនកំណត់ដែលអាចប្រៀបធៀបបានលេចឡើងជាក់ស្តែងនៅក្នុងប្រតិបត្តិការដែលទាក់ទងនឹង Lazarus នោះទេ។