美國聯邦調查局(FBI)與美國網路安全暨基礎設施安全局(CISA)警告,自2021年6月首次偵測到Medusa勒索軟體以來,該惡意軟體已影響超過300家關鍵基礎設施機構。
兩大機構近日聯合發布安全公告,揭露Medusa的攻擊行為模式並提供防範建議。
Medusa勒索軟體概述
Medusa是一種勒索軟體即服務(Ransomware-as-a-Service, RaaS),主要透過網路釣魚(Phishing)攻擊及利用未修補的軟體漏洞進行滲透。
截至2025年2月,CISA指出,Medusa的開發者及其合作夥伴已攻擊超過300家關鍵基礎設施機構,受影響產業涵蓋醫療、教育、法律、保險、科技及製造業等。
然而,實際受害機構的數量可能更高。根據Symantec威脅獵人團隊的最新報告,自2023年初以來,該勒索軟體組織在其資料外洩網站上已公開近400家受害機構的資訊,實際影響範圍可能遠超此數。
Medusa的多重勒索手法
Medusa採用雙重甚至三重勒索策略,包括:
- 竊取並加密受害者資料。
- 威脅公開被盜數據,以施壓受害者支付贖金。
- 部分受害者支付贖金後,仍被要求支付額外費用才能獲得所謂的「真解密工具」(True Decryptor)。
Medusa的攻擊模式
1. 初始滲透與存取權限購買
最初,Medusa由一個勒索軟體團隊掌控,負責所有開發與運營。但隨著時間推移,該組織轉向聯盟模式,允許多個駭客組織合作,而贖金談判仍由核心開發團隊集中控制。
Medusa活躍於地下駭客論壇,專門招募「初始存取經紀人」(Initial Access Brokers, IABs)來獲取受害組織的存取權限。該組織提供100美元至100萬美元不等的報酬,甚至允許駭客專門為Medusa工作。
2. 攻擊手法與內部滲透
- 釣魚攻擊:Medusa的合作夥伴透過網路釣魚竊取憑證。
- 漏洞利用:該組織曾濫用ScreenConnect與Fortinet EMS SQL注入漏洞等已知漏洞。
- 合法工具濫用:「Living off the Land」技術(利用系統內建工具進行攻擊),避免傳統防毒軟體偵測。
- 網路與系統探測:滲透後,Medusa會掃描常見連接埠,利用命令列工具進行網路與檔案系統探索,並使用Windows Management Instrumentation(WMI)查詢系統資訊。
- 混淆與反偵測:使用Base64編碼混淆PowerShell惡意程式碼,甚至透過有漏洞或合法簽章的驅動程式關閉或刪除防毒工具。
3. 遠端存取與資料外洩
Medusa會根據受害者環境選擇適合的遠端存取軟體。
- 資料外洩與加密:駭客使用Rclone等工具將資料同步至雲端,隨後部署「gaze.exe」加密檔案,並附加「.medusa」副檔名。
- 系統破壞:gaze.exe會終止備份、安全性、資料庫、通訊、檔案共享與網站服務,刪除Windows陰影備份(Shadow Copy),再以AES-256加密。
- 虛擬機器加密:攻擊者手動關閉虛擬機器,並加密其相關檔案。
勒索與贖金支付機制
- Medusa會在受害系統留下「READ_ME_MEDUSA!!!.txt」勒索訊息,要求受害者在48小時內透過Tor瀏覽器或Tox加密通訊軟體聯繫。
- 若受害者未回應,攻擊者可能直接撥打電話或寄送電子郵件。
- 在Medusa的暗網網站上,攻擊者發布贖金要求並提供加密貨幣支付連結,甚至在倒數計時結束前向潛在買家販售受害數據。
- 受害者可支付1萬美元延長倒數計時。
- FBI調查發現,一些受害者支付贖金後,另一名Medusa攻擊者聲稱談判者已私吞款項,要求再支付一半金額以取得「真正的解密工具」,顯示該組織可能實施三重勒索策略。
CISA與FBI建議的防禦措施
- 修補已知漏洞,避免攻擊者利用未修補漏洞滲透。
- 進行網路分段,減少橫向移動風險。
- 落實資料備份與復原計畫,確保關鍵數據可快速恢復。
- 監測可疑流量與異常行為,例如未經授權的遠端存取或異常加密活動。
- 教育員工提高資安意識,防範網路釣魚攻擊。
企業應及早採取行動,強化資安防禦,以降低Medusa等勒索軟體的風險。