Medusa勒索软件在2025年攻击了超过40家组织

赛门铁克威胁猎人团队报告称，自2023年1月以来，Medusa勒索软件的操作者已经声称有近400名受害者。专家们观察到，该组织在2023年至2024年间的攻击增加了42%。专家们将Medusa勒索软件的活动追踪为Spearwing。

在2025年1月至2月期间，该勒索软件团伙声称对超过40次攻击负责。

“像大多数勒索软件操作者一样，Spearwing及其附属机构执行双重勒索攻击，在加密网络之前窃取受害者的数据，以增加受害者支付赎金的压力，”赛门铁克发布的报告中写道。

Medusa要求的赎金从10万美元到1500万美元不等，受害者是医疗保健、非营利组织、金融和政府部门的组织。该组织针对已知的漏洞，主要是在Exchange Server中。研究人员推测，勒索软件组织依靠初始访问经纪人来访问目标基础设施。

在获得目标的初始访问权限后，Medusa黑客使用远程管理和监控（RMM）工具，如SimpleHelp和AnyDesk来维持持久性，并使用BYOVD与KillAV来禁用杀毒软件，这是在BlackCat和RansomHub勒索软件操作中看到的策略。

赛门铁克研究人员强调，Medusa勒索软件攻击者使用PDQ Deploy来投放工具、文件，并在受害者网络中横向移动。

Medusa勒索软件攻击者使用Navicat进行数据库访问，使用RoboCopy和Rclone进行数据外泄。

Medusa勒索软件在LockBit和BlackCat的干扰中扩张，突显了RaaS（勒索软件即服务）领域的演变和对更强网络安全防御的需求。

赛门铁克总结道：“像大多数目标勒索软件组织一样，Spearwing倾向于攻击跨多个领域的大型组织，勒索软件组织往往纯粹由利润驱动，而不是任何意识形态或道德考虑。”

原文始发于微信公众号（黑猫安全）：Medusa勒索软件在2025年攻击了超过40家组织