美杜莎勒索軟件攻擊300個關鍵基礎設施，漏洞修復刻不容緩！

美國政府警告稱，自 2021 年 6 月以來，美杜莎(Medusa) 勒索軟件即服務 (RaaS) 分支機構已攻擊了 300 多個關鍵基礎設施組織。

01 組織架構演變與勒索運營模式

CISA、聯(lián)邦調查局(FBI)和多國信息共享與分析中心(MS-ISAC)在一份聯(lián)合警報中指出，Medusa 最初是作為一個封閉的勒索軟件運行的，盡管它目前使用的是聯(lián)盟模式，但勒索談判仍由惡意軟件開發(fā)者進行。

該組織進行雙重勒索，不僅對受害者的數(shù)據(jù)進行加密，而且還竊取數(shù)據(jù)，并威脅說除非支付贖金，否則就會泄露這些數(shù)據(jù)。這三家機構稱，Medusa 的運營商向專門為其工作的附屬公司支付 100 到 100 萬美元不等的贖金。

02 雙重勒索策略與滲透技術手段

據(jù)觀察，該組織依靠網(wǎng)絡釣魚竊取受害者的憑證，并利用未修補的漏洞進行初始訪問，包括 CVE-2024-1709(“SlashAndGrab”ScreenConnect 漏洞)和 CVE-2023-48788(Fortinet EMS中的 SQL 注入漏洞)。

美杜莎 (Medusa) 勒索軟件的附屬組織一直在使用離地攻擊 (LOTL) 和合法工具進行偵察、逃避檢測、在受感染環(huán)境中進行橫向移動以及數(shù)據(jù)泄露。

在加密受害者的數(shù)據(jù)之前，攻擊者會禁用安全軟件，終止與備份、安全、數(shù)據(jù)共享和通信相關的進程，并刪除備份副本以防止文件恢復。

CISA、FBI 和 MS-ISAC 表示：“隨后，攻擊者手動關閉并加密虛擬機，然后刪除其之前安裝的工具。”

03 三重勒索陰謀與全球化攻擊影響

美杜莎(Medusa) 勒索軟件組織在其基于 Tor 的泄密網(wǎng)站上列出了受害者名單，并發(fā)布贖金要求和數(shù)據(jù)銷售廣告。據(jù)觀察，該組織通過電話或電子郵件聯(lián)系受害者，并允許受害者通過每天額外支付 10,000 美元來延長贖金支付期限。

美國政府警報寫道：“FBI 調查發(fā)現(xiàn)，在支付贖金后，一名受害者接到了另一名美杜莎攻擊者的聯(lián)系，后者聲稱談判人員竊取了已經支付的贖金金額，并要求受害者再次支付一半的贖金以提供‘真正的解密器’——這可能表明這是一個三重勒索陰謀。”

在賽門鐵克 警告Medusa 攻擊增加約一周后，CISA、FBI 和 MS-ISAC 發(fā)布了聯(lián)合公告。該勒索軟件團伙被追蹤為 Spearwing 和 Storm-1175(網(wǎng)絡安全領域對美杜莎的標識/代號，用于區(qū)分和監(jiān)控其攻擊活動)，其目標包括美國、澳大利亞、以色列、印度、葡萄牙、英國、阿聯(lián)酋和其他國家的組織。

來源：數(shù)世咨詢