赛门铁克威胁猎人团队报告称,自2023年1月以来,Medusa勒索软件的操作者已经声称有近400名受害者。专家们观察到,该组织在2023年至2024年间的攻击增加了42%。专家们将Medusa勒索软件的活动追踪为Spearwing。
在2025年1月至2月期间,该勒索软件团伙声称对超过40次攻击负责。
“像大多数勒索软件操作者一样,Spearwing及其附属机构执行双重勒索攻击,在加密网络之前窃取受害者的数据,以增加受害者支付赎金的压力,”赛门铁克发布的报告中写道。
Medusa要求的赎金从10万美元到1500万美元不等,受害者是医疗保健、非营利组织、金融和政府部门的组织。该组织针对已知的漏洞,主要是在Exchange Server中。研究人员推测,勒索软件组织依靠初始访问经纪人来访问目标基础设施。
在获得目标的初始访问权限后,Medusa黑客使用远程管理和监控(RMM)工具,如SimpleHelp和AnyDesk来维持持久性,并使用BYOVD与KillAV来禁用杀毒软件,这是在BlackCat和RansomHub勒索软件操作中看到的策略。
赛门铁克研究人员强调,Medusa勒索软件攻击者使用PDQ Deploy来投放工具、文件,并在受害者网络中横向移动。
Medusa勒索软件攻击者使用Navicat进行数据库访问,使用RoboCopy和Rclone进行数据外泄。
Medusa勒索软件在LockBit和BlackCat的干扰中扩张,突显了RaaS(勒索软件即服务)领域的演变和对更强网络安全防御的需求。
赛门铁克总结道:“像大多数目标勒索软件组织一样,Spearwing倾向于攻击跨多个领域的大型组织,勒索软件组织往往纯粹由利润驱动,而不是任何意识形态或道德考虑。”
原文始发于微信公众号(黑猫安全):Medusa勒索软件在2025年攻击了超过40家组织
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论