安小圈
第625期
关基安全 · 美杜莎勒索
CISA、FBI 和 MS-ISAC警告称,Medusa勒索软件攻击针对关键基础设施组织。美杜莎是一种以勒索为目的的恶意软件,通过加密受害者文件并索要赎金(通常以比特币支付),属于“双重勒索”(加密数据+威胁公开数据)型勒索软件家族。采用AES+RSA 混合加密算法,导致文件无法自行恢复。
美国政府警告称,自 2021 年 6 月以来,Medusa 勒索软件即服务 (RaaS) 分支机构已攻击了 300 多个关键基础设施组织。
该组织进行双重勒索,加密受害者的数据,同时窃取数据并威胁如果不支付赎金就泄露数据。三家机构称,Medusa 的运营商向专门为他们工作的分支机构支付 100 至 100 万美元不等的费用。
据观察,该组织依靠网络钓鱼窃取受害者的凭证,并利用未修补的漏洞进行初始访问,包括 CVE-2024-1709(“SlashAndGrab”ScreenConnect 漏洞)和 CVE-2023-48788(Fortinet EMS中的 SQL 注入漏洞)。
Medusa 勒索软件的附属组织一直在使用离地攻击 (LOTL) 和合法工具进行侦察、逃避检测、在受感染环境中进行横向移动以及数据泄露。
在加密受害者的数据之前,攻击者会禁用安全软件,终止与备份、安全、数据共享和通信相关的进程,并擦除卷影副本以防止文件恢复。
CISA、FBI 和 MS-ISAC 表示:“随后,攻击者手动关闭并加密虚拟机并删除其之前安装的工具。”
Medusa 勒索软件组织在其基于 Tor 的泄密网站上列出了受害者名单,并发布赎金要求和数据销售广告。据观察,该组织通过电话或电子邮件联系受害者,并允许受害者通过每天额外支付 10,000 美元来延长赎金支付期限。
美国政府警报写道:“FBI 调查发现,在支付赎金后,一名受害者接到了另一名美杜莎攻击者的联系,后者声称谈判人员窃取了已经支付的赎金金额,并要求受害者再次支付一半的赎金以提供‘真正的解密器’——这可能表明这是一个三重勒索阴谋。”
在赛门铁克警告Medusa攻击增加约一周后,CISA、FBI和MS-ISAC发布了联合公告。该勒索软件团伙被追踪为 Spearwing 和 Storm-1175,其目标包括美国、澳大利亚、以色列、印度、葡萄牙、英国、阿联酋和其他国家的组织。经典攻击案例包括,2023年印度国家银行(SBI)子公司攻击,加密数千台设备,索要一千万美元赎金,并威胁公开客户财务数据;2023年美国医疗机构攻击,导致患者病历系统瘫痪,勒索金额五百万美元。
-
定期备份数据:采用离线备份,避免备份文件被加密。
-
修复漏洞:及时更新操作系统、Web应用和远程访问工具(如VPN)。
-
防范钓鱼攻击:培训员工识别可疑邮件,禁用宏脚本执行。
-
启用多因素认证(MFA):防止攻击者通过窃取凭证横向移动。
-
部署EDR/XDR:实时检测异常行为(如大规模文件加密)。
END
原文始发于微信公众号(安小圈):美杜莎【勒索软件】导致 300个关键基础设施受害
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论