自 2023 年 1 月首次出现以来, Medusa 勒索软件团伙已经造成近 400 名受害者,其中以搞钱为动机的攻击在 2023 年至 2024 年间增长了 42%。
根据赛门铁克威胁猎人团队在与 The Hacker News 分享的一份报告中的数据,仅在 2025 年的前两个月,该组织就已发起了 40 多起攻击。这家网络安全公司正在以 Spearwing 的名义跟踪该团伙。
赛门铁克指出:“与大多数勒索软件运营商一样,Spearwing 及其附属机构进行双重勒索攻击,在加密网络之前窃取受害者的数据,以增加受害者支付赎金的压力。”
“如果受害者拒绝支付,该组织威胁要在其数据泄露网站上公布被盗数据。”
虽然其他勒索软件即服务 (RaaS) 参与者(例如 RansomHub(又名 Greenbottle 和 Cyclops)、Play(又名 Balloonfly)和 Qilin(又名 Agenda、Stinkbug 和 Water Galura))都从 LockBit 和 BlackCat 的破坏中受益,但 Medusa 感染的激增增加了这样一种可能性,即威胁行为者也可能急于填补这两位多产勒索者留下的空白。
随着勒索软件形势的不断变化,近几个月来不断有新的 RaaS 操作出现,例如Anubis、CipherLocker、Core、Dange、LCRYX、Loches、Vgod和Xelera 。
Medusa 曾向医疗保健提供商和非营利组织索要 10 万美元至 1500 万美元不等的赎金,同时也针对金融和政府组织进行攻击。
勒索软件集团发起的攻击链涉及利用面向公众的应用程序(主要是 Microsoft Exchange Server)中已知的安全漏洞来获取初始访问权限。人们还怀疑威胁行为者可能使用初始访问代理来入侵感兴趣的网络。
一旦成功立足,黑客便会放弃使用 SimpleHelp、AnyDesk 或 MeshAgent 等远程管理和监控 (RMM) 软件进行持续访问,并采用久经考验的自带易受攻击驱动程序 (BYOVD) 技术通过KillAV终止防病毒进程。值得指出的是,KillAV 之前曾被用于 BlackCat 勒索软件攻击。
赛门铁克表示:“使用合法的 RMM 软件 PDQ Deploy 是 Medusa 勒索软件攻击的另一个标志。攻击者通常使用它来投放其他工具和文件,并在受害者网络中横向移动。”
Medusa 勒索软件攻击过程中部署的其他一些工具包括用于访问和运行数据库查询的 Navicat、用于数据泄露的 RoboCopy 和 Rclone。
赛门铁克表示:“与大多数勒索软件组织一样,Spearwing 倾向于攻击各个行业的大型组织。勒索软件组织往往纯粹受利益驱动,而不是出于任何意识形态或道德考虑。”
信息来源:Thehackernews
原文始发于微信公众号(犀牛安全):2025年Q1,Medusa 勒索软件攻击了 40 多名受害者,索要 10 万至 1500 万美元赎金
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论