美杜莎勒索软件攻击300个关键基础设施，漏洞修复刻不容缓！

美国政府警告称，自 2021 年 6 月以来，美杜莎（Medusa） 勒索软件即服务 (RaaS) 分支机构已攻击了 300 多个关键基础设施组织。

CISA、联邦调查局（FBI）和多国信息共享与分析中心（MS-ISAC）在一份联合警报中指出，Medusa 最初是作为一个封闭的勒索软件运行的，尽管它目前使用的是联盟模式，但勒索谈判仍由恶意软件开发者进行。

该组织进行双重勒索，不仅对受害者的数据进行加密，而且还窃取数据，并威胁说除非支付赎金，否则就会泄露这些数据。这三家机构称，Medusa 的运营商向专门为其工作的附属公司支付 100 到 100 万美元不等的赎金。

据观察，该组织依靠网络钓鱼窃取受害者的凭证，并利用未修补的漏洞进行初始访问，包括 CVE-2024-1709（“SlashAndGrab”ScreenConnect 漏洞）和 CVE-2023-48788（Fortinet EMS中的 SQL 注入漏洞）。

美杜莎（Medusa） 勒索软件的附属组织一直在使用离地攻击 (LOTL) 和合法工具进行侦察、逃避检测、在受感染环境中进行横向移动以及数据泄露。

在加密受害者的数据之前，攻击者会禁用安全软件，终止与备份、安全、数据共享和通信相关的进程，并删除备份副本以防止文件恢复。

CISA、FBI 和 MS-ISAC 表示：“随后，攻击者手动关闭并加密虚拟机，然后删除其之前安装的工具。”

美杜莎（Medusa） 勒索软件组织在其基于 Tor 的泄密网站上列出了受害者名单，并发布赎金要求和数据销售广告。据观察，该组织通过电话或电子邮件联系受害者，并允许受害者通过每天额外支付 10,000 美元来延长赎金支付期限。

美国政府警报写道：“FBI 调查发现，在支付赎金后，一名受害者接到了另一名美杜莎攻击者的联系，后者声称谈判人员窃取了已经支付的赎金金额，并要求受害者再次支付一半的赎金以提供‘真正的解密器’——这可能表明这是一个三重勒索阴谋。”

在赛门铁克警告Medusa 攻击增加约一周后，CISA、FBI 和 MS-ISAC 发布了联合公告。该勒索软件团伙被追踪为 Spearwing 和 Storm-1175（网络安全领域对美杜莎的标识/代号，用于区分和监控其攻击活动），其目标包括美国、澳大利亚、以色列、印度、葡萄牙、英国、阿联酋和其他国家的组织。

🎉 大家期盼很久的#数字安全交流群来了！快来加入我们的粉丝群吧！

🎁 多种报告，产业趋势、技术趋势

这里汇聚了行业内的精英，共同探讨最新产业趋势、技术趋势等热门话题。我们还有准备了专属福利，只为回馈最忠实的您！

👉 扫码立即加入，精彩不容错过！

😄嘻嘻，我们群里见！

原文始发于微信公众号（数世咨询）：美杜莎勒索软件攻击300个关键基础设施，漏洞修复刻不容缓！