勒索軟體攻擊繼續對各個行業的組織構成重大威脅,複雜的犯罪組織不斷改進其戰術。聯邦當局最近對一種特別危險的勒索軟體變種發出警報,該軟體在近幾個月內迅速積累了大量受害者。
 |
|---|
| FBI 和美國網路安全和基礎設施安全域性正在警告一種危險的勒索軟體計劃 |
聯邦機構釋出關於 Medusa 勒索軟體的聯合警告
FBI 和美國網路安全和基礎設施安全域性(CISA)釋出了一項緊急警告,提醒人們注意 Medusa 的捲土重來,這是一種自2021年以來一直活躍的勒索軟體即服務(RaaS)操作。根據聯合公告,Medusa 開發者及其附屬機構自2月以來已經攻擊了300多個受害者,目標是多個行業的關鍵基礎設施,包括醫療保健、教育、法律服務、保險、技術和製造業。
Medusa 勒索軟體關鍵事實:
- 活躍時間:自2021年6月起
- 近期受害者:自2025年2月以來超過300個
- 目標行業:醫療、教育、法律、保險、技術、製造業
- 勒索金額:10萬美元至1500萬美元
- 倒計時延期費用:每天1萬美元
從封閉運營轉變為附屬模式
Medusa 最初作為一種封閉的勒索軟體變種執行,同一批犯罪分子既開發惡意軟體又執行攻擊。然而,它後來轉變為附屬模式,開發者專注于勒索談判,同時透過暗網論壇招募附屬機構來執行實際攻擊。這些招募活動可能涉及從100美元到100萬美元不等的付款以換取獨家工作,從而建立了一個具有專業角色的分散式網路犯罪分子網路。
複雜的攻擊方法
Medusa 的主要感染途徑是設計用來竊取受害者憑證的釣魚活動。一旦獲得初始訪問許可權,攻擊者就會使用各種合法工具來推進他們的操作。他們使用 Advanced IP Scanner 和 SoftPerfect Network Scanner 等工具來識別易受攻擊的系統和開放埠,而 PowerShell 和 Windows 命令提示符則幫助編制網路資源列表。為了在被入侵的網路中橫向移動,犯罪分子利用遠端訪問軟體,包括 AnyDesk、Atera 和 Splashtop,以及遠端桌面協議和 PsExec。
雙重勒索戰術
Medusa 採用了一種特別激進的雙重勒索模式。除了加密受害者資料使其無法訪問外,攻擊者還威脅要公開發布被盜資訊,除非支付贖金。該組織維護著一個數據洩露網站,在那裡列出了受害者以及顯示何時釋出其資訊的倒計時器。在一種特別掠奪性的做法中,受害者可以支付10,000美元的加密貨幣,僅將倒計時延長一天,從而製造額外壓力,迫使其滿足據報道從10萬美元到1,500萬美元不等的贖金要求。
歸因於 Spearwing 組織
根據 Symantec 最近的研究,Medusa 勒索軟體被歸因於一個名為 Spearwing 的威脅行為者。自2023年初以來,該組織在其資料洩露網站上公開列出了近400名受害者,儘管安全研究人員認為實際受到入侵的組織數量要高得多。
推薦的保護措施
聯邦當局概述了幾項關鍵的保護措施,組織應該實施這些措施來防範 Medusa 和類似威脅。這些措施包括修補作業系統和軟體中已知的安全漏洞,實施網路分段以控制潛在的入侵,過濾網路流量,停用未使用的埠,以及建立包含離線備份的全面資料恢復計劃。
保護建議:
- 為作業系統、軟體和韌體打補丁
- 實施網路分段
- 過濾網路流量
- 停用未使用的埠
- 建立離線資料備份
- 啟用多因素認證
- 使用長密碼而非頻繁更換密碼
- 監控異常網路活動
強調身份驗證和監控
安全專家特別強調為所有服務啟用多因素身份驗證的重要性,包括電子郵件和VPN。與一些傳統的安全建議相反,該警告建議使用長而複雜的密碼,而不是頻繁更改憑證,因為後者有時會導致密碼選擇較弱。此外,組織應該部署能夠監控和提醒異常網路活動的工具,特別是可能表明正在進行攻擊的橫向移動。