Medusa là một nền tảng ransomware-as-a-service (RaaS) nổi lên vào năm 2023 và đang nhanh chóng trở thành một mối đe dọa nghiêm trọng đối với các tổ chức trên toàn cầu. Dưới đây là những điểm chính về Medusa:

Cách thức hoạt động của Medusa

• Medusa hoạt động như một dịch vụ RaaS, cung cấp phần mềm độc hại và cơ sở hạ tầng cho các đối tác (affiliates) để thực hiện các cuộc tấn công ransomware gây rối loạn.
• Nhóm này chủ yếu nhắm vào các tổ chức sử dụng Windows, khai thác những hệ thống dễ bị tấn công và chưa được vá lỗi.
• Medusa thường không tự mình xâm nhập mạng lưới nạn nhân. Thay vào đó, chúng mua quyền truy cập từ các nhà môi giới truy cập ban đầu (IABs).
• Các kỹ thuật “Linving off the land” được sử dụng để tránh phát hiện. Chúng tận dụng các công cụ hợp pháp và tài nguyên sẵn có trong mạng lưới nạn nhân để thực hiện các hoạt động bất hợp pháp.

Phương thức tấn công

• Medusa thường sử dụng các chiến dịch lừa đảo và nhắm mục tiêu có chứa tệp đính kèm độc hại để phân phối phần mềm độc hại.
• Chúng cũng được quan sát thấy sử dụng các nhà môi giới truy cập ban đầu để truy cập vào các mạng mục tiêu.
• Medusa lợi dụng các dịch vụ hợp pháp như phần mềm quản lý và giám sát từ xa ConnectWise và PDQ Deploy để lẩn trốn sự phát hiện của các đội ngũ bảo mật.

Tác động của cuộc tấn công

• Dữ liệu nhạy cảm bị đánh cắp và mã hóa với đuôi .MEDUSA hoặc .mylock được thêm vào cuối tên file.
• Medusa cố gắng làm cho quá trình khôi phục sau cuộc tấn công trở nên khó khăn hơn bằng cách xóa các bản sao lưu dữ liệu của Windows và xóa các file liên quan đến chương trình sao lưu.
• Các ổ cứng đĩa ảo (VHDs) được sử dụng bởi máy ảo cũng bị xóa.

Mục tiêu của Medusa

• Medusa nhắm vào nhiều lĩnh vực khác nhau, bao gồm chăm sóc sức khỏe, giáo dục, sản xuất và bán lẻ.
• Hầu hết nạn nhân của Medusa dường như nằm ở Hoa Kỳ, tiếp theo là Vương quốc Anh, Canada, Úc, Pháp và Ý.
• Đáng chú ý là các tổ chức có trụ sở tại Belarus, Kazakhstan, Kyrgyzstan, Nga và Tajikistan không xuất hiện trong danh sách nạn nhân, gợi ý rằng sự vắng mặt này có thể là có chủ đích.

Hoạt động trực tuyến của Medusa

• Medusa có một blog có thể truy cập được bằng Tor, nơi họ đăng thông tin về các tổ chức bị ảnh hưởng và tóm tắt dữ liệu bị đánh cắp hoặc rò rỉ.
• Nhóm này cũng duy trì một sự hiện diện trực tuyến bất thường trên cả dark web và clear web, bao gồm trang web osintcorp.net và tài khoản trên X và Telegram.

Cách bảo vệ tổ chức khỏi Medusa

Để bảo vệ tổ chức khỏi malware Medusa và các loại ransomware khác, bạn nên thực hiện các biện pháp sau:

1. Tạo bản sao lưu an toàn ngoài trang web.
2. Sử dụng giải pháp bảo mật cập nhật và đảm bảo máy tính được bảo vệ bằng các bản vá lỗi mới nhất.
3. Sử dụng mật khẩu mạnh và duy nhất để bảo vệ dữ liệu và tài khoản nhạy cảm, đồng thời bật xác thực đa yếu tố.
4. Mã hóa dữ liệu nhạy cảm khi có thể.
5. Giảm bề mặt tấn công bằng cách vô hiệu hóa các chức năng mà công ty không cần.
6. Giáo dục và thông báo cho nhân viên về các rủi ro và phương pháp được tội phạm mạng sử dụng để phát động cuộc tấn công và đánh cắp dữ liệu.

Tham khảo

1. Solutions and Protections against Medusa Ransomware
2. Medusa Ransomware: What You Need To Know
3. Medusa Ransomware Turning Your Files into Stone
4. Medusa Ransomware: Looking Cyber Threats in the Eye with Darktrace
5. Medusa ransomware: What organizations need to know