2023 年至 2024 年间,Medusa勒索软件攻击激增了 42%,且这一活动持续升级至 2025 年。
与 2024 年前两个月相比,2025 年 1 月和 2 月观测到的Medusa攻击数量几乎翻倍,这表明在这一不断演变的威胁形势中,存在着令人担忧的趋势。
从Medusa泄密网站的数据可视化中,可以清晰地看到这些攻击日益频繁,该网站记录了过去两年间攻击频率的稳步上升。
赛门铁克的分析师指出,据报道,Medusa勒索软件由一个被追踪为Spearwing的组织作为 “勒索软件即服务”(RaaS)运营。
遵循大多数现代勒索软件运营者的模式,Spearwing及其关联方实施双重勒索攻击,先窃取受害者的数据,然后加密网络,以增加对受害者支付赎金的压力。
自 2023 年初开始活跃以来,Spearwing已积累了数百名受害者,其数据泄露网站上列出了近 400 个组织,不过实际数字可能远不止于此。
使用Medusa勒索软件的攻击者索要的赎金差异很大,从 1000 美元到 1500 万美元不等,受害者通常被给予 10 天时间支付赎金。
寻求延期的受害者每天需额外支付 1 万美元。
在 2023 年和 2024 年执法行动后,像Noberus和LockBit等知名勒索软件组织近期衰落,这为Medusa这类组织创造了扩大业务的机会,填补了勒索软件生态系统中由此产生的空白。
Medusa与众不同之处在于其针对受害者的攻击方法始终如一。当Medusa运营者入侵一个网络时,他们通常会利用 SimpleHelp 或 AnyDesk 等远程管理和监控软件来建立访问权限,并下载更多工具。
在几乎所有观测到的Medusa攻击中,运营者都采用一种名为 “自带漏洞驱动程序”(BYOVD)的技术,部署 KillAV 及相关漏洞驱动程序来禁用安全软件并逃避检测。
攻击链条
Medusa攻击遵循一种独特模式,PDQ Deploy 是其常用工具之一。在近三分之二接受调查的Medusa勒索软件攻击中,研究人员观察到使用了相同的文件路径:
csidl_windows\adminarsenal\pdqdeployrunner\service – 1\exec,文件名为 gaze.exe。
其他频繁部署的工具包括用于数据库访问的 Navicat、用于文件操作的 RoboCopy 以及用于数据渗出的 Rclone。
勒索软件本身会在加密文件后添加.medusa 扩展名,并在受影响的系统上留下一个名为!READ_ME_MEDUSA!!!.txt 的勒索通知。
该勒索软件具备复杂功能,可接受多个参数来执行各种任务,包括显示版本(-V)、排除系统文件夹(-f)、使用网络驱动器(-n)以及防止自我删除(-d)。
Medusa给取证分析带来极大挑战的一点在于,一旦加密完成,它能够从受害者机器上自我删除,这使得对这些日益普遍的攻击的调查工作变得复杂。
发表评论
您还未登录,请先登录。
登录