美杜莎勒索软件肆虐全球，已攻击多达74个组织机构

美杜莎勒索软件家族在2022年底“萌芽”，并在2023年开始“崭露头角”，以对高科技、教育、制造、医疗保健和零售等行业的广泛攻击而出名。据估计，2023年有多达74个组织（主要位于美国、英国、法国、意大利、西班牙和印度）受到勒索软件的影响。

该组织精心策划的勒索软件攻击始于利用面向互联网的资产或具有已知未修补漏洞的应用程序以及劫持合法帐户，通常使用初始访问代理来获得目标网络的立足点。

在网络安全公司观察到的一个例子中，Microsoft Exchange Server被利用来上传Web Shell，然后将其用作安装和执行ConnectWise远程监控和管理软件的管道。

其中一个值得注意的方面是依赖陆上生活（LotL）技术来与合法活动和回避检测相结合。同时还观察到使用一对内核驱动程序来终止安全产品的硬编码列表。 初始访问阶段之后是发现和侦察受感染的网络，最终启动勒索软件以列举和加密所有文件，但扩展名为 .dll、.exe、.lnk 和 .medusa（加密文件的扩展名）的文件除外。

对于每个被感染的受害者，美杜莎的泄密网站都会显示有关组织的信息、要求的赎金、被盗数据公开发布前的剩余时间以及浏览量，以向公司施加压力。

威胁行为者还为受害者提供了不同的选择，所有选择都涉及某种形式的勒索，以删除或下载被盗数据并寻求延长时间以防止数据被释放。

随着勒索软件的商品化和专业化发展，威胁行为者越来越肆无忌惮地发起攻击。他们不仅通过诉诸人身暴力威胁甚至通过专门的公关渠道来公开点名和羞辱组织。据报道，美杜莎不仅有一个专门的媒体团队来处理他们的品牌推广工作，而且还利用一个名为“信息支持”的公共Telegram频道共享受感染组织的文件。

研究人员称，美杜莎勒索软件的出现及其在2023年恶劣行径标志着勒索软件领域的重大发展。他们的操作展示了复杂的攻击手段，利用了系统漏洞和初始访问代理，同时巧妙地避免了通过离地技术进行检测。