美杜莎勒索软件导致300个关键基础设施受害

CISA、FBI 和 MS-ISAC警告称，Medusa勒索软件攻击针对关键基础设施组织。美杜莎是一种以勒索为目的的恶意软件，通过加密受害者文件并索要赎金（通常以比特币支付），属于“双重勒索”（加密数据+威胁公开数据）型勒索软件家族。采用AES+RSA 混合加密算法，导致文件无法自行恢复。

美国政府警告称，自 2021 年 6 月以来，Medusa 勒索软件即服务 (RaaS) 分支机构已攻击了 300 多个关键基础设施组织。

Medusa 最初是作为封闭式勒索软件运营的，虽然目前采用的是联盟模式，但赎金谈判仍由恶意软件开发者、CISA、FBI 和多州信息共享与分析中心 (MS-ISAC) 在联合警报中指出。

该组织进行双重勒索，加密受害者的数据，同时窃取数据并威胁如果不支付赎金就泄露数据。三家机构称，Medusa 的运营商向专门为他们工作的分支机构支付 100 至 100 万美元不等的费用。

据观察，该组织依靠网络钓鱼窃取受害者的凭证，并利用未修补的漏洞进行初始访问，包括 CVE-2024-1709（“SlashAndGrab”ScreenConnect 漏洞）和 CVE-2023-48788（Fortinet EMS中的 SQL 注入漏洞）。

Medusa 勒索软件的附属组织一直在使用离地攻击 (LOTL) 和合法工具进行侦察、逃避检测、在受感染环境中进行横向移动以及数据泄露。

在加密受害者的数据之前，攻击者会禁用安全软件，终止与备份、安全、数据共享和通信相关的进程，并擦除卷影副本以防止文件恢复。

CISA、FBI 和 MS-ISAC 表示：“随后，攻击者手动关闭并加密虚拟机并删除其之前安装的工具。”

Medusa 勒索软件组织在其基于 Tor 的泄密网站上列出了受害者名单，并发布赎金要求和数据销售广告。据观察，该组织通过电话或电子邮件联系受害者，并允许受害者通过每天额外支付 10,000 美元来延长赎金支付期限。

美国政府警报写道：“FBI 调查发现，在支付赎金后，一名受害者接到了另一名美杜莎攻击者的联系，后者声称谈判人员窃取了已经支付的赎金金额，并要求受害者再次支付一半的赎金以提供‘真正的解密器’——这可能表明这是一个三重勒索阴谋。”

在赛门铁克警告Medusa攻击增加约一周后，CISA、FBI和MS-ISAC发布了联合公告。该勒索软件团伙被追踪为 Spearwing 和 Storm-1175，其目标包括美国、澳大利亚、以色列、印度、葡萄牙、英国、阿联酋和其他国家的组织。经典攻击案例包括，2023年印度国家银行（SBI）子公司攻击，加密数千台设备，索要一千万美元赎金，并威胁公开客户财务数据；2023年美国医疗机构攻击，导致患者病历系统瘫痪，勒索金额五百万美元。

防护建议

1. 定期备份数据：采用离线备份，避免备份文件被加密。

2. 修复漏洞：及时更新操作系统、Web应用和远程访问工具（如VPN）。

3. 防范钓鱼攻击：培训员工识别可疑邮件，禁用宏脚本执行。

4. 启用多因素认证（MFA）：防止攻击者通过窃取凭证横向移动。

5. 部署EDR/XDR：实时检测异常行为（如大规模文件加密）。