Serangan perisian tebusan terus menimbulkan ancaman besar kepada organisasi dalam pelbagai sektor, dengan operasi jenayah canggih yang sentiasa mengembangkan taktik mereka. Pihak berkuasa persekutuan baru-baru ini telah mengeluarkan amaran tentang varian perisian tebusan yang sangat berbahaya yang telah mengumpulkan mangsa dengan pesat dalam beberapa bulan kebelakangan ini.
 |
|---|
| FBI dan Agensi Keselamatan Siber dan Infrastruktur AS memberi amaran terhadap skim ransomware yang berbahaya |
Agensi Persekutuan Mengeluarkan Nasihat Bersama Mengenai Perisian Tebusan Medusa
FBI dan Agensi Keselamatan Siber dan Infrastruktur A.S. ( CISA ) telah mengeluarkan nasihat segera yang memberi amaran tentang kebangkitan semula Medusa, operasi perisian tebusan sebagai perkhidmatan (RaaS) yang telah aktif sejak 2021. Menurut buletin bersama, pembangun Medusa dan ahli gabungan mereka telah menjejaskan lebih daripada 300 mangsa sejak Februari sahaja, menyasarkan infrastruktur kritikal merentasi pelbagai sektor termasuk penjagaan kesihatan, pendidikan, perkhidmatan undang-undang, insurans, teknologi, dan pembuatan.
Fakta Utama Perisian Tebusan Medusa:
- Aktif sejak: Jun 2021
- Mangsa terkini: Lebih 300 sejak Februari 2025
- Sektor yang disasarkan: Perubatan, pendidikan, undang-undang, insurans, teknologi, pembuatan
- Tuntutan tebusan: USD $100,000 hingga USD $15 juta
- Yuran pelanjutan masa kira detik: USD $10,000 sehari
Evolusi dari Operasi Tertutup kepada Model Gabungan
Pada mulanya, Medusa beroperasi sebagai varian perisian tebusan tertutup, dengan penjenayah yang sama membangunkan perisian hasad dan melaksanakan serangan. Walau bagaimanapun, ia telah beralih kepada model gabungan, di mana pembangun memberi tumpuan kepada rundingan tebusan sambil merekrut ahli gabungan melalui forum web gelap untuk melaksanakan serangan sebenar. Usaha pengambilan ini boleh melibatkan pembayaran antara USD $100 hingga USD $1 juta untuk kerja eksklusif, mewujudkan rangkaian penjenayah siber yang mempunyai peranan khusus.
Metodologi Serangan Canggih
Vektor jangkitan utama bagi Medusa adalah kempen phishing yang direka untuk mencuri kredensial mangsa. Setelah akses awal diperoleh, penyerang menggunakan pelbagai alat sah untuk memajukan operasi mereka. Mereka menggunakan utiliti seperti Advanced IP Scanner dan SoftPerfect Network Scanner untuk mengenal pasti sistem yang terdedah dan port terbuka, sementara PowerShell dan Windows command prompt membantu menyusun senarai sumber rangkaian. Untuk pergerakan sisi merentasi rangkaian yang dikompromi, penjenayah memanfaatkan perisian akses jauh termasuk AnyDesk, Atera, dan Splashtop bersama Remote Desktop Protocol dan PsExec.
Taktik Pemerasan Berganda
Medusa menggunakan model pemerasan berganda yang sangat agresif. Selain mengenkripsi data mangsa untuk menjadikannya tidak boleh diakses, penyerang juga mengancam untuk mengeluarkan maklumat yang dicuri secara terbuka melainkan wang tebusan dibayar. Operasi ini mengekalkan laman kebocoran data di mana mangsa disenaraikan bersama pemasa kiraan detik yang menunjukkan bila maklumat mereka akan diterbitkan. Dalam amalan yang sangat pemangsa, mangsa boleh membayar USD $10,000 dalam mata wang kripto untuk melanjutkan kiraan detik hanya satu hari, mewujudkan tekanan tambahan untuk memenuhi tuntutan tebusan yang dilaporkan berjulat dari USD $100,000 hingga USD $15 juta.
Dikaitkan dengan Kumpulan Spearwing
Menurut penyelidikan terkini dari Symantec, perisian tebusan Medusa dikaitkan dengan pelaku ancaman yang dipanggil Spearwing. Sejak awal 2023, kumpulan ini telah menyenaraikan hampir 400 mangsa secara terbuka di laman kebocoran datanya, walaupun penyelidik keselamatan percaya bahawa jumlah sebenar organisasi yang dikompromi adalah jauh lebih tinggi.
Langkah Perlindungan yang Disyorkan
Pihak berkuasa persekutuan telah menggariskan beberapa langkah perlindungan kritikal yang perlu dilaksanakan oleh organisasi untuk melindungi diri daripada Medusa dan ancaman serupa. Ini termasuk menampal kelemahan keselamatan yang diketahui dalam sistem operasi dan perisian, melaksanakan segmentasi rangkaian untuk mengekang kemungkinan pelanggaran, menapis trafik rangkaian, menyahaktifkan port yang tidak digunakan, dan mewujudkan pelan pemulihan data komprehensif dengan sandaran luar talian.
Cadangan Perlindungan:
- Tampal sistem operasi, perisian dan perisian tegar
- Laksanakan segmentasi rangkaian
- Tapis trafik rangkaian
- Nyahaktifkan port yang tidak digunakan
- Cipta sandaran data luar talian
- Aktifkan pengesahan berbilang faktor
- Gunakan kata laluan yang panjang berbanding menukar kata laluan dengan kerap
- Pantau aktiviti rangkaian yang luar biasa
Penekanan pada Pengesahan dan Pemantauan
Pakar keselamatan terutamanya menekankan kepentingan mengaktifkan pengesahan berbilang faktor untuk semua perkhidmatan termasuk e-mel dan VPN. Bertentangan dengan beberapa nasihat keselamatan tradisional, nasihat tersebut mengesyorkan penggunaan kata laluan yang panjang dan kompleks berbanding menukar kredensial secara kerap, kerana amalan terakhir kadangkala boleh membawa kepada pilihan kata laluan yang lebih lemah. Tambahan pula, organisasi harus menggunakan alat yang boleh memantau dan memberi amaran tentang aktiviti rangkaian yang luar biasa, terutamanya pergerakan sisi yang boleh menunjukkan serangan aktif sedang berlaku.