美国联邦调查局(FBI)与网络安全和基础设施安全局(CISA)近日联合发布警告,提醒Gmail、Outlook等常用邮箱服务的用户注意名为“Medusa”的勒索病毒。该病毒与一个名为Spearwing的黑客组织有关,该组织已入侵数百名受害者的数据,受害者涵盖医疗、教育、法律、保险、科技和制造业等多个领域。
Medusa勒索病毒:一种高危威胁
据了解,Medusa勒索病毒最早于2021年6月被发现,FBI和CISA于2025年2月12日正式发布警报。此次联合网络安全通告是“#停止勒索软件”行动的一部分,旨在向网络防御者详细介绍各种勒索软件变种和勒索软件威胁行动者。通告包括最近和历史上观察到的战术、技术和程序(TTPs)以及入侵指标(IOCs),以帮助组织防范勒索软件。
截至2025年2月,超过300名受害者受到了网络攻击的影响。Medusa的开发者通常招募访问代理,并支付100美元到100万美元不等的费用,让他们为其工作。这些附属机构将使用常见的技术来窃取潜在受害者的数据,例如网络钓鱼活动和利用未修补的软件漏洞。
Spearwing黑客组织:Medusa背后的操盘手?
企业安全软件品牌Symantec于3月6日发布的一篇博客文章指出,一个名为Spearwing的组织正在操纵该勒索病毒。Spearwing及其附属机构像大多数勒索软件运营商一样,进行双重勒索攻击,在加密网络之前窃取受害者的数据,以增加受害者支付赎金的压力。如果受害者拒绝付款,该组织将威胁在其数据泄露网站上发布被盗数据。
根据Symantec的数据,自2023年初该组织首次活跃以来,Spearwing已经攻击了数百人。该组织的数据泄露网站上有大约400名受害者,但实际数字可能更高。
据Symantec称,Spearwing使用Medusa勒索软件索要的赎金从10万美元到1500万美元不等。除了获得受害者网络的访问权限外,该组织还在劫持合法账户,包括医疗保健组织的账户。
Symantec在观察到的一些Medusa攻击中,无法明确确定攻击者最初是如何获得受害者网络访问权限的,这意味着可能使用了漏洞之外的感染途径。
如何保护自己免受Medusa勒索病毒的侵害?
为了缓解Medusa勒索病毒的威胁,FBI和CISA建议用户采取以下措施:
- 制定恢复计划,维护并在物理上独立的、分段的和安全的位置保留敏感或专有数据和服务器的多个副本。例如,硬盘驱动器、存储设备和云。
- 要求所有帐户都使用密码登录。公司员工应使用长密码,并应经常更改。
- 要求所有服务都进行多因素身份验证,特别是对于网络邮件、虚拟专用网络以及访问关键系统的帐户。
- 确保所有操作系统、软件和固件都是最新的。
- 分段网络以防止勒索软件的传播。
- 使用网络监控工具识别、检测和调查异常活动以及指示勒索软件的潜在传播。
- 要求使用VPN或跳转主机进行远程访问。
- 监控未经授权的扫描和访问尝试。
- 过滤网络流量,阻止未知或不受信任的来源访问内部系统上的远程服务。
- 禁用未使用的端口。
- 保留数据的离线备份,并定期维护备份和恢复。
- 确保所有备份数据都经过加密且不可变。
总之,面对日益复杂的网络安全威胁,个人和企业都应提高警惕,加强安全防范措施,定期更新软件,并采取有效的备份策略,以最大限度地减少遭受勒索软件攻击的风险。
