#StopRansomware: Medusa勒索软件
发布日期:2025年3月12日
警报代码:AA25-071A
组织应立即采取的行动以缓解Medusa勒索软件相关网络威胁
- 通过确保操作系统、软件和固件在风险知情的时间范围内打补丁和更新,缓解已知漏洞
- 分割网络以限制从初始受感染设备和同一组织中的其他设备进行横向移动
- 通过阻止未知或不受信任的来源访问内部系统的远程服务来过滤网络流量
摘要
本联合网络安全咨询是持续进行的#StopRansomware工作的一部分,旨在为网络防御者发布详细说明各种勒索软件变种和勒索软件威胁参与者的咨询。这些#StopRansomware咨询包括最近和历史观察到的战术、技术和程序(TTP)以及入侵指标(IOC),以帮助组织防范勒索软件。
联邦调查局(FBI)、网络安全和基础设施安全局(CISA)和多州信息共享与分析中心(MS-ISAC)发布此联合咨询,以传播已知的Medusa勒索软件TTP和IOC,这些是通过FBI调查直到2025年2月确定的。
Medusa是一种勒索软件即服务(RaaS)变种,于2021年6月首次识别。截至2025年2月,Medusa开发者和附属机构已影响了来自各种关键基础设施部门的300多名受害者,受影响行业包括医疗、教育、法律、保险、技术和制造业。根据FBI的调查,Medusa勒索软件变种与MedusaLocker变种和Medusa移动恶意软件变种无关。
FBI、CISA和MS-ISAC鼓励组织实施本咨询缓解部分的建议,以降低Medusa勒索软件事件的可能性和影响。
技术细节
背景
RaaS Medusa变种从2021年至今被用于进行勒索软件攻击。Medusa最初作为封闭式勒索软件变种运作,意味着所有开发和相关操作都由同一组网络威胁参与者控制。虽然Medusa后来发展到使用附属模式,但重要操作(如赎金谈判)仍由开发者集中控制。本咨询中称为"Medusa参与者"的Medusa开发者和附属机构都采用双重勒索模式,即加密受害者数据并威胁如果不支付赎金就公开泄露外泄数据。
初始访问
Medusa开发者通常在网络犯罪论坛和市场中招募初始访问经纪人(IAB)以获得对潜在受害者的初始访问[TA0001]。向这些附属机构提供从100美元到100万美元不等的潜在付款,并有机会独家为Medusa工作。已知Medusa IAB(附属机构)利用常见技术,如:
- 网络钓鱼活动作为窃取受害者凭据的主要方法[T1566]
- 通过常见漏洞和暴露(CVE)利用未修补的软件漏洞[T1190],如ScreenConnect漏洞CVE-2024-1709 [CWE-288:使用替代路径或通道绕过身份验证]和Fortinet EMS SQL注入漏洞[CVE-2023-48788 [CWE 89:SQL注入]]
发现
Medusa参与者使用离地生存(LOTL)和合法工具Advanced IP Scanner和SoftPerfect Network Scanner进行初始用户、系统和网络枚举。一旦在受害者网络中建立立足点,通常扫描的端口包括:
- 21 (FTP)
- 22 (SSH)
- 23 (Telnet)
- 80 (HTTP)
- 115 (SFTP)
- 443 (HTTPS)
- 1433 (SQL数据库)
- 3050 (Firebird数据库)
- 3128 (HTTP网络代理)
- 3306 (MySQL数据库)
- 3389 (RDP)
Medusa参与者主要使用PowerShell [T1059.001]和Windows命令提示符(cmd.exe)[T1059.003]进行网络[T1046]和文件系统枚举[T1083],并利用入口工具传输能力[T1105]。Medusa参与者使用Windows管理规范(WMI)[T1047]查询系统信息。
防御规避
Medusa参与者使用LOTL来避免检测[TA0005]。Certutil(certutil.exe)用于在执行文件入口时避免检测。
观察到参与者使用几种不同复杂度的PowerShell检测规避技术,如下所示。此外,Medusa参与者试图通过删除PowerShell命令行历史[T1070.003]来掩盖踪迹。
在此示例中,Medusa参与者使用一种众所周知的规避技术,使用特定的执行设置执行base64加密命令[T1027.013]。
|
|
在另一个示例中,DownloadFile字符串通过切片并通过变量引用[T1027]进行混淆。
|
|
在最后一个示例中,有效载荷是一个混淆的base64字符串,读入内存,从gzip解压缩,并用于创建脚本块。base64有效载荷使用空字符串和连接进行分割,并使用格式操作符(-f)后跟三个参数来指定base64有效载荷中的字符替换。
|
|
混淆的base64 PowerShell有效载荷与powerfun.ps1相同,这是一个公开可用的stager脚本,可以创建反向或绑定shell over TLS以加载其他模块。在绑定shell中,脚本等待本地端口443上的连接[T1071.001],并在反向shell中启动到远程端口443的连接。
在某些情况下,Medusa参与者尝试使用有漏洞或签名的驱动程序来杀死或删除端点检测和响应(EDR)工具[T1562.001]。
FBI观察到Medusa参与者使用以下工具支持命令和控制(C2)并规避检测:
- Ligolo:一种反向隧道工具,通常用于在受感染主机和威胁参与者机器之间创建安全连接
- Cloudflared:前身为ArgoTunnel,用于通过Cloudflare Tunnel安全地将应用程序、服务或服务器暴露给互联网,而不直接暴露它们
横向移动和执行
Medusa参与者使用各种合法的远程访问软件[T1219];他们可能根据受害者环境中已有的任何远程访问工具来调整选择,作为规避检测的手段。调查发现Medusa参与者使用远程访问软件AnyDesk、Atera、ConnectWise、eHorus、N-able、PDQ Deploy、PDQ Inventory、SimpleHelp和Splashtop。Medusa使用这些工具——结合远程桌面协议(RDP)[T1021.001]和PsExec [T1569.002]——横向移动[TA0008]通过网络并识别文件用于外泄[TA0010]和加密[T1486]。当提供有效的用户名和密码凭据时,Medusa参与者使用PsExec:
- 将各种批处理脚本中的一个脚本从当前机器复制(-c)到远程机器,并使用SYSTEM级别权限(-s)执行它
- 使用SYSTEM级别权限在远程机器上执行已存在的本地文件
- 使用cmd /c执行远程shell命令
由PsExec执行的批处理脚本之一是openrdp.bat,它首先创建一个新的防火墙规则以允许端口3389上的入站TCP流量:
|
|
然后,创建允许远程WMI连接的规则:
|
|
最后,修改注册表以允许远程桌面连接:
|
|
还观察到使用Mimikatz进行本地安全机构子系统服务(LSASS)转储[T1003.001]以收集凭据[TA0006]并辅助横向移动。
外泄和加密
Medusa参与者安装并使用Rclone促进数据外泄到参与者和附属机构使用的Medusa C2服务器[T1567.002]。参与者使用Sysinternals PsExec、PDQ Deploy或BigFix [T1072]在网络上的文件上部署加密器gaze.exe——参与者在特定目标上禁用Windows Defender和其他防病毒服务。加密文件具有.medusa文件扩展名。进程gaze.exe终止所有与备份、安全、数据库、通信、文件共享和网站相关的服务[T1489],然后删除卷影副本[T1490]并使用AES-256加密文件,然后投放赎金记录。参与者然后手动关闭[T1529]并加密虚拟机,并删除他们先前安装的工具[T1070]。
勒索
Medusa RaaS采用双重勒索模型,受害者必须支付[T1657]以解密文件并防止进一步发布。赎金记录要求受害者在48小时内通过基于Tor浏览器的实时聊天或通过Tox(一种端到端加密即时消息平台)进行联系。如果受害者不响应赎金记录,Medusa参与者将通过电话或电子邮件直接联系他们。Medusa运营一个.onion数据泄露站点,泄露受害者信息以及信息发布的倒计时。赎金要求发布在站点上,带有指向Medusa附属加密货币钱包的直接超链接。在此阶段,Medusa同时在倒计时结束前向感兴趣方广告数据销售。受害者还可以支付10,000美元加密货币将倒计时计时器增加一天。
FBI调查发现,在支付赎金后,一名受害者被另一名Medusa参与者联系,该参与者声称谈判者已经窃取了已支付的赎金金额,并要求再次支付一半的金额以提供"真正的解密器"——可能表明存在三重勒索计划。
入侵指标
表1列出了调查期间获得的恶意文件的哈希值。
表1:恶意文件
| 文件 | 哈希(MD5) | 描述 |
|---|---|---|
| !!!READ_ME_MEDUSA!!!.txt | 已编辑 | 赎金记录文件 |
| openrdp.bat | 44370f5c977e415981febf7dbb87a85c | 允许传入RDP和远程WMI连接 |
| pu.exe | 80d852cd199ac923205b61658a9ec5bc | 反向shell |
表2包括Medusa参与者用于勒索受害者的电子邮件地址;它们专门用于赎金谈判和入侵后联系受害者。这些电子邮件地址与Medusa参与者进行的网络钓鱼活动无关。
表2:Medusa电子邮件地址
| 电子邮件地址 | 描述 |
|---|---|
| key.medusa.serviceteam@protonmail.com | 用于赎金谈判 |
| medusa.support@onionmail.org | 用于赎金谈判 |
| mds.svt.breach@protonmail.com | 用于赎金谈判 |
| mds.svt.mir2@protonmail.com | 用于赎金谈判 |
| MedusaSupport@cock.li | 用于赎金谈判 |
MITRE ATT&CK战术和技术
见表3-表11了解本咨询中引用的所有威胁参与者战术和技术。
表3:初始访问
| 技术标题 | ID | 使用 |
|---|---|---|
| 利用面向公众的应用程序 | T1190 | Medusa参与者利用未修补的软件或n-day漏洞通过常见漏洞和暴露进行攻击 |
| 初始访问 | TA0001 | Medusa参与者在网络犯罪论坛和市场中招募初始访问经纪人(IAB)以获得初始访问 |
| 网络钓鱼 | T1566 | Medusa IAB使用网络钓鱼活动作为向受害者提供勒索软件的主要方法 |
表4:防御规避
| 技术标题 | ID | 使用 |
|---|---|---|
| 指标移除:清除命令历史 | T1070.003 | Medusa参与者通过删除PowerShell命令行历史来掩盖踪迹 |
| 混淆文件或信息:加密/编码文件 | T1027.013 | Medusa参与者使用执行base64加密命令的众所周知的规避技术 |
| 混淆文件或信息 | T1027 | Medusa参与者通过将字符串切片并通过变量引用对其进行混淆 |
| 指标移除 | T1070 | Medusa参与者删除了他们先前安装的工作和工具 |
| 削弱防御:禁用或修改工具 | T1562.001 | Medusa参与者杀死或删除端点检测和响应工具 |
表5:发现
| 技术标题 | ID | 使用 |
|---|---|---|
| 网络服务发现 | T1046 | Medusa参与者利用离地生存技术执行网络枚举 |
| 文件和目录发现 | T1083 | Medusa参与者利用Windows命令提示符进行文件系统枚举 |
| 网络共享发现 | T1135 | Medusa参与者查询本地系统上的共享驱动器以收集信息来源 |
| 系统网络配置发现 | T1016 | Medusa参与者使用操作系统管理实用程序收集网络信息 |
| 系统信息发现 | T1082 | Medusa参与者使用命令systeminfo收集详细的系统信息 |
| 权限组发现:域组 | T1069.002 | Medusa参与者尝试查找域级组和权限设置 |
表6:凭据访问
| 技术标题 | ID | 使用 |
|---|---|---|
| 凭据访问 | TA0006 | Medusa参与者使用Mimikatz等工具收集凭据以获取系统访问权限 |
| OS凭据转储:LSASS内存 | T1003.001 | 观察到Medusa参与者使用Mimikatz访问存储在进程内存或本地安全机构子系统服务(LSASS)中的凭据材料 |
表7:横向移动和执行
| 技术标题 | ID | 使用 |
|---|---|---|
| 横向移动 | TA0008 | Medusa参与者在获得初始访问后执行技术以横向移动而不被检测 |
| 命令和脚本解释器:PowerShell | T1059.001 | Medusa参与者使用PowerShell,一个强大的交互式命令行界面和脚本环境,用于入口、网络和文件系统枚举 |
| 命令和脚本解释器:Windows命令shell | T1059.003 | Medusa参与者使用Windows命令提示符——可用于控制系统的几乎任何方面——用于入口、网络和文件系统枚举 |
| 软件部署工具 | T1072 | Medusa参与者使用PDQ Deploy和BigFix在网络上的文件上部署加密器 |
| 远程服务:远程桌面协议 | T1021.001 | Medusa参与者使用远程桌面协议(RDP),操作系统中的常见功能,登录到系统的交互式会话并横向移动 |
| 系统服务 | T1569.002 | Medusa参与者使用Sysinternals PsExec在网络上的文件上部署加密器 |
| Windows管理规范 | T1047 | Medusa参与者滥用Windows管理规范查询系统信息 |
表8:外泄和加密
| 技术标题 | ID | 使用 |
|---|---|---|
| 外泄 | TA0010 | Medusa参与者识别要从受害者网络外泄的文件 |
| 通过Web服务外泄:外泄到云存储 | T1567.002 | Medusa参与者使用Rclone促进数据外泄到Medusa C2服务器 |
表9:命令和控制
| 技术标题 | ID | 使用 |
|---|---|---|
| 入口工具传输 | T1105 | Medusa参与者使用PowerShell、Windows命令提示符和certutil进行文件入口 |
| 应用层协议:Web协议 | T1071.001 | Medusa参与者使用与Web流量相关的应用层协议进行通信。在这种情况下,Medusa参与者使用在端口443上创建反向或绑定shell的脚本:HTTPS |
| 远程访问软件 | T1219 | Medusa参与者使用远程访问软件横向移动通过网络 |
表10:持久性
| 技术标题 | ID | 使用 |
|---|---|---|
| 创建账户 | T1136.002 | Medusa参与者创建域账户以维持对受害者系统的访问 |
表11:影响
| 技术标题 | ID | 使用 |
|---|---|---|
| 数据加密以产生影响 | T1486 | Medusa识别并加密目标系统上的数据以中断系统和网络资源的可用性 |
| 抑制系统恢复 | T1490 | 进程gaze.exe终止所有服务,然后删除卷影副本并使用AES-256加密文件,然后投放赎金记录 |
| 财务盗窃 | T1657 | 受害者必须支付以解密文件并防止Medusa参与者进一步发布 |
| 系统关机/重启 | T1529 | Medusa参与者手动关闭并加密虚拟机 |
| 服务停止 | T1489 | 进程gaze.exe终止所有与备份、安全、数据库、通信、文件共享和网站相关的服务 |
缓解措施
FBI、CISA和MS-ISAC建议组织实施以下缓解措施,以基于威胁参与者的活动改善网络安全状况。这些缓解措施与CISA和国家标准与技术研究院(NIST)制定的跨部门网络安全性能目标(CPG)保持一致。CPG提供了CISA和NIST建议所有组织实施的最小实践和保护集。CISA和NIST基于现有的网络安全框架和指南制定了CPG,以防范最常见和影响最大的威胁、战术、技术和程序。
- 实施恢复计划,在物理上分离、分段和安全的位置(例如,硬盘、存储设备、云)维护和保留敏感或专有数据和服务器的多个副本[CPG 2.F, 2.R, 2.S]
- 要求所有具有密码登录的账户(例如,服务账户、管理员账户和域管理员账户)符合NIST标准。特别是,要求员工使用长密码,并考虑不要求频繁重复更改密码,因为这可能会削弱安全性[CPG 2.C]
- 尽可能要求所有服务使用多因素认证,特别是Webmail、虚拟专用网络和访问关键系统的账户[CPG 2.H]
- 保持所有操作系统、软件和固件最新。及时打补丁是组织可以采取的最有效和最具成本效益的步骤之一,以最小化其暴露于网络安全威胁。优先修补面向互联网系统中已知被利用的漏洞[CPG 1.E]
- 分割网络以防止勒索软件传播。网络分割可以通过控制各种子网之间的流量流和访问以及限制对手横向移动来帮助防止勒索软件传播[CPG 2.F]
- 使用网络监控工具识别、检测和调查异常活动以及指示的勒索软件的潜在遍历。为了帮助检测勒索软件,实施记录和报告所有网络流量的工具,包括网络上的横向移动活动。端点检测和响应(EDR)工具对于检测横向连接特别有用,因为它们对每个主机的常见和不常见网络连接有洞察力[CPG 3.A]
- 要求远程访问使用VPN或跳板机
- 监控未经授权的扫描和访问尝试
- 通过阻止未知或不受信任的来源访问内部系统的远程服务来过滤网络流量。这防止威胁参与者直接连接到他们为持久性建立的远程访问服务
- 审核具有管理权限的用户账户,并根据最小权限原则配置访问控制[CPG 2.E]
- 审查域控制器、服务器、工作站和活动目录中的新和/或未识别账户[CPG 1.A, 2.O]
- 禁用命令行和脚本活动及权限。权限提升和横向移动通常依赖于从命令行运行的软件实用程序。如果威胁参与者无法运行这些工具,他们将难以提升权限和/或横向移动[CPG 2.E, 2.N]
- 禁用未使用的端口[CPG 2.V]
- 维护数据的离线备份,并定期维护备份和恢复[CPG 2.R]。通过制定此实践,组织有助于确保他们不会受到严重中断和/或只有不可检索的数据
- 确保所有备份数据都加密、不可变(即,无法更改或删除),并覆盖组织的整个数据基础设施[CPG 2.K, 2.L, 2.R]
验证安全控制
除了应用缓解措施外,FBI、CISA和MS-ISAC建议针对本咨询中映射到MITRE ATT&CK Matrix for Enterprise框架的威胁行为练习、测试和验证组织的安全程序。FBI、CISA和MS-ISAC建议测试现有的安全控制清单,以评估它们针对本咨询中描述的ATT&CK技术的性能。
开始:
- 选择本咨询中描述的ATT&CK技术(表3至表11)
- 使安全技术与该技术对齐
- 针对该技术测试技术
- 分析检测和预防技术的性能
- 对所有安全技术重复此过程以获得一组全面的性能数据
- 基于此过程生成的数据调整安全程序,包括人员、流程和技术
FBI、CISA和MS-ISAC建议在生产环境中持续测试安全程序,以大规模确保针对本咨询中识别的MITRE ATT&CK技术的最佳性能。
资源
- 联合#StopRansomware指南
- 联合指南识别和缓解离地生存技术
- 联合指南保护远程访问软件
报告
您的组织没有义务响应或向FBI提供信息以响应此联合咨询。如果在审查提供的信息后,您的组织决定向FBI提供信息,报告必须符合适用的州和联邦法律。
FBI对可以共享的任何信息感兴趣,包括显示与外国IP地址通信的边界日志、赎金记录样本、与威胁参与者的通信、比特币钱包信息、解密器文件和/或加密文件的良性样本。
其他感兴趣的详细信息包括目标公司联系人、感染状态和范围、估计损失、运营影响、交易ID、感染日期、检测日期、初始攻击向量以及基于主机和网络的指标。
FBI、CISA和MS-ISAC不鼓励支付赎金,因为支付不能保证受害者文件将被恢复。此外,支付还可能鼓励对手针对其他组织,鼓励其他犯罪参与者参与分发勒索软件,和/或资助非法活动。无论您或您的组织是否决定支付赎金,FBI、CISA和MS-ISAC敦促您及时向FBI的互联网犯罪投诉中心(IC3)、当地FBI外地办事处或CISA通过该机构的事件报告系统或其24/7运营中心(report@cisa.gov)或致电1-844-Say-CISA(1-844-729-2472)报告勒索软件事件。
附录A:Medusa命令
这些命令明确展示了Medusa威胁参与者在受害者网络内获得立足点后使用的方法。事件响应者和威胁猎人可以使用此信息检测恶意活动。系统管理员可以使用此信息设计允许列表/拒绝列表策略或其他保护机制。
|
|