Nguy cơ Tấn Công Ransomware Medusa Tăng Đột Biến: Đánh Giá và Phòng Ngừa

07/03/2025
2 mins read


1. Tăng Trưởng Tấn Công:

  • Ransomware Medusa đã chứng kiến một sự gia tăng đáng kể trong các cuộc tấn công, với mức tăng 42% từ năm 2023 đến 2024.
  • Trong hai tháng đầu năm 2025, nhóm này đã xác nhận hơn 40 cuộc tấn công, gần gấp đôi số lượng quan sát được trong cùng kỳ năm 2024.

2. Nạn Nhân và Mức Đòi Tiền Chuộc:

  • Nhóm này đã liệt kê gần 400 nạn nhân trên trang web rò rỉ dữ liệu của họ kể từ đầu năm 2023, với mức đòi tiền chuộc từ 100.000 đến 15 triệu đô la.
  • Số lượng nạn nhân thực tế có thể cao hơn nhiều, vì dữ liệu không tính đến những người đã trả tiền chuộc để ngăn việc công bố dữ liệu.

3. Phương Pháp Tấn Công:

  • Medusa sử dụng chiến lược tống tiền kép, đánh cắp dữ liệu nhạy cảm trước khi mã hóa mạng của nạn nhân và đe dọa công bố dữ liệu bị đánh cắp nếu không trả tiền chuộc.
  • Bọn tấn công thường đạt được quyền truy cập ban đầu bằng cách khai thác các lỗ hổng chưa được vá trong các ứng dụng công khai, đặc biệt là các máy chủ Microsoft Exchange.
  • Họ sử dụng nhiều công cụ hợp pháp và các công cụ sống trong hệ thống để né tránh phát hiện, đạt được di chuyển bên trong và xuất dữ liệu ra ngoài. Các công cụ này bao gồm phần mềm quản lý và giám sát từ xa như SimpleHelp hoặc AnyDesk, PDQ Deploy, và kỹ thuật Đưa Driver Có Lỗ Hổng (BYOVD).

4. Công Cụ và Chiến Thuật:

  • Bọn tấn công Medusa sử dụng nhiều công cụ như Navicat để truy cập cơ sở dữ liệu, RoboCopy và Rclone để xuất dữ liệu, và PDQ Deploy để thả các công cụ bổ sung và tạo điều kiện cho di chuyển bên trong mạng của nạn nhân.
  • Nhóm này cũng sử dụng kỹ thuật BYOVD để vô hiệu hóa phần mềm bảo mật và né tránh phát hiện.

5. Mô Hình Hoạt Động:

  • Medusa hoạt động như một dịch vụ ransomware (RaaS) bởi một nhóm được xác định là Spearwing. Nhóm này làm việc với một số lượng nhỏ các đối tác và cung cấp cho họ một tài liệu chi tiết mô tả quy trình tấn công và các chiến thuật cần tuân theo.

6. Ảnh Hưởng Đến Ngành Y Tế:

  • Medusa đã chịu trách nhiệm cho một số cuộc tấn công vào các tổ chức y tế, bao gồm một cuộc tấn công đã được xác nhận vào một tổ chức y tế của Hoa Kỳ vào tháng 1 năm 2025. Bọn tấn công thường có thời gian tồn tại dài trong mạng để xác định dữ liệu quý giá cần xuất ra.

Bài viết nhấn mạnh bối cảnh mối đe dọa đang phát triển và nhu cầu cho các tổ chức nâng cao các biện pháp an ninh mạng của họ để chống lại mối đe dọa ngày càng tăng của ransomware Medusa.


Tags