美杜莎勒索軟體攻擊關鍵基礎設施組織，受害者超過300家

這是美國網路安全暨基礎設施安全局（CISA）、聯邦調查局（FBI）以及多州資訊共享與分析中心（MS-ISAC）週三聯合發布的網路安全諮詢報告中的內容。這些機構指出，美杜莎（與MedusaLocker勒索軟體無關）自2021年以來一直活躍，最初是一個封閉的勒索軟體運營。

「雖然美杜莎已發展到使用聯盟模式，但贖金談判等重要運營仍由開發者集中控制，」諮詢報告稱。「美杜莎開發者和聯盟成員（在本諮詢報告中稱為『美杜莎攻擊者』）都採用雙重勒索模式，即他們加密受害者數據，並威脅說如果未支付贖金，將公開洩露被竊取的數據。」

根據諮詢報告，美杜莎開發者通常在網路犯罪論壇上僱用初始存取代理（Initial Access Brokers）來獲取進入受害者環境的權限。在攻擊過程中，美杜莎攻擊者使用各種合法軟體進行橫向移動，包括AnyDesk、Atera、ConnectWise、eHorus、N-able、PDQ Deploy、PDQ Inventory、SimpleHelp和Splashtop等遠端存取工具。此外，威脅攻擊者經常使用Advanced IP Scanner和SoftPerfect Network Scanner來收集有關目標用戶、系統和網路的資訊。

美杜莎藏身於合法工具之下

這些機構表示，美杜莎攻擊者通常執行「活在系統中」（Living-off-the-land, LotL）技術以逃避偵測，並採用「複雜程度不斷提高」的多種PowerShell技術。根據諮詢報告，某些攻擊的關鍵組成部分是在所謂的「自帶漏洞驅動程式」（Bring Your Own Vulnerable Driver, BYOVD）攻擊中應用漏洞或簽名驅動程式。諮詢報告稱，美杜莎攻擊者使用BYOVD來終止甚至刪除端點偵測與回應產品。

賽門鐵克（Symantec）威脅獵捕團隊在一篇部落格文章中指出，2024年美杜莎的活動同比增長了42%，並在1月和2月持續上升。研究人員還強調了廣泛使用合法驅動程式以及AVKill和POORTRY等客製開發的惡意工具來繞過或禁用安全軟體。

「BYOVD是一種在過去兩年中在勒索軟體攻擊鏈中越來越常用的技術，」部落格文章稱。「在幾乎所有美杜莎攻擊中，KillAV和相關的漏洞驅動程式都被用於攻擊鏈的這一部分，以下載驅動程式並禁用安全軟體。」

賽門鐵克的威脅獵捕團隊調查了1月份針對一家醫療機構的攻擊，發現美杜莎攻擊者使用AVKill、POORTRY和一個未知驅動程式來禁用該組織的防禦。攻擊者還使用開源工具RClone進行數據外洩，並使用PsExec遠端發出命令。研究人員指出，勒索軟體可執行檔在加密目標系統和檔案後會自行刪除。

CISA、FBI和MS-ISAC建議採取多項措施來減輕美杜莎勒索軟體的威脅，包括禁用命令列和腳本活動以及權限，以限制LotL技術。「權限提升和橫向移動通常依賴於從命令列運行的軟體實用程式，」諮詢報告稱。「如果威脅攻擊者無法運行這些工具，他們將難以提升權限和/或橫向移動。」

蓋亞資訊：全方位資安專家

蓋亞資訊是亞太區最大Anti-DDoS供應商，擁有最豐富的資安防護經驗，提供DDoS防禦、WAF、防網路機器人(bot management)等服務，致力於協助企業應對資安風險與雲端挑戰。

如果您的企業也正在尋找可靠的資安解決方案，歡迎隨時聯絡蓋亞資訊，讓我們成為您資安保護與雲端整合的最佳夥伴！