美国联邦机构近日发出警告,指出一种名为“Medusa”(美杜莎)的勒索病毒正在威胁包括Gmail、Outlook在内的诸多主流电子邮件服务的用户。这种病毒与一个名为Spearwing的黑客组织有关,该组织已经入侵了数百名受害者的数据,受害者涉及医疗、教育、法律、保险、科技和制造业等多个领域。
Medusa勒索病毒:2021年出现,2025年活跃
美国网络安全和基础设施安全局(CISA)和联邦调查局(FBI)在3月12日联合发布公告,表示Medusa勒索病毒最早于2021年6月被发现。截至2025年2月,已有超过300名受害者受到攻击。
CISA和FBI表示,此次联合发布网络安全公告是“#停止勒索软件行动”的一部分,旨在向网络防御者详细介绍各种勒索软件变种和勒索软件威胁行动者。“这些#停止勒索软件公告包括近期和历史上观察到的战术、技术和程序(TTP)以及入侵指标(IOC),以帮助组织防范勒索软件。”
Spearwing组织:幕后黑手,双重勒索
企业安全软件品牌赛门铁克(Symantec)在3月6日发布的博客文章中指出,一个名为Spearwing的组织正在利用Medusa勒索病毒进行攻击。
赛门铁克的博客文章称:“像大多数勒索软件运营者一样,Spearwing及其同伙进行双重勒索攻击,在加密网络之前窃取受害者的数据,以增加受害者支付赎金的压力。如果受害者拒绝支付,该组织就会威胁将窃取的数据发布在其数据泄露网站上。”
据赛门铁克称,自2023年初该组织首次活跃以来,Spearwing已经侵害了数百人。该组织的数据泄露网站上有大约400名受害者,但实际数量可能远高于此。
赛门铁克表示,Spearwing使用Medusa勒索软件索要的赎金从10万美元到1500万美元不等。除了获得对受害者网络的访问权限外,该组织还在劫持合法账户,包括医疗保健组织的账户。
赛门铁克的博客文章还指出:“在赛门铁克观察到的几起Medusa攻击中,无法明确确定攻击者是如何最初获得对受害者网络的访问权限的,这意味着可能使用了除漏洞利用之外的感染途径。”
如何防范Medusa勒索病毒?
为了降低Medusa勒索病毒的风险,FBI和CISA建议采取以下措施:
- 制定恢复计划:维护和保留敏感或专有数据和服务器的多个副本,并将它们保存在物理上分离、分段和安全的位置。例如,硬盘驱动器、存储设备和云端。
- 强制密码登录:要求所有帐户都使用密码登录。公司员工应使用长密码,并经常更改。
- 实施多因素身份验证:对所有服务,特别是Webmail、虚拟专用网络以及访问关键系统的帐户,实施多因素身份验证。
- 保持系统更新:确保所有操作系统、软件和固件都是最新的。
- 分割网络:分割网络以防止勒索软件传播。
- 监控异常活动:使用网络监控工具识别、检测和调查异常活动以及指示勒索软件的潜在通道。
- 使用VPN或跳转主机进行远程访问:要求使用VPN或跳转主机进行远程访问。
- 监控未经授权的扫描和访问尝试:监控未经授权的扫描和访问尝试。
- 过滤网络流量:阻止未知或不受信任的来源访问内部系统上的远程服务,过滤网络流量。
- 禁用未使用的端口:禁用未使用的端口。
- 保持数据离线备份:保持数据离线备份,并定期维护备份和恢复。
- 加密备份数据:确保所有备份数据都经过加密且不可变。
总而言之,面对日益复杂的网络安全威胁,用户和组织都应提高警惕,采取积极的防御措施,确保数据安全。
