Các cuộc tấn công bằng mã độc tống tiền tiếp tục gây ra mối đe dọa đáng kể cho các tổ chức thuộc nhiều lĩnh vực khác nhau, với các hoạt động tội phạm tinh vi liên tục phát triển các chiến thuật của họ. Các cơ quan liên bang gần đây đã báo động về một biến thể mã độc tống tiền đặc biệt nguy hiểm đã nhanh chóng tích lũy nạn nhân trong những tháng gần đây.
 |
|---|
| FBI và Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ đang cảnh báo về một âm mưu ransomware nguy hiểm |
Các Cơ Quan Liên Bang Ban Hành Cảnh Báo Chung về Mã Độc Tống Tiền Medusa
FBI và Cơ Quan An Ninh Mạng và Cơ Sở Hạ Tầng Hoa Kỳ ( CISA ) đã phát hành một cảnh báo khẩn cấp về sự trỗi dậy của Medusa, một hoạt động ransomware-as-a-service (RaaS) đã hoạt động từ năm 2021. Theo bản tin chung, các nhà phát triển Medusa và các đối tác của họ đã xâm phạm hơn 300 nạn nhân kể từ tháng Hai, nhắm vào cơ sở hạ tầng quan trọng trên nhiều lĩnh vực bao gồm y tế, giáo dục, dịch vụ pháp lý, bảo hiểm, công nghệ và sản xuất.
Những thông tin chính về Ransomware Medusa:
- Hoạt động từ: Tháng 6 năm 2021
- Nạn nhân gần đây: Hơn 300 kể từ tháng 2 năm 2025
- Các lĩnh vực bị nhắm đến: Y tế, giáo dục, pháp lý, bảo hiểm, công nghệ, sản xuất
- Yêu cầu tiền chuộc: Từ 100.000 USD đến 15 triệu USD
- Phí gia hạn thời gian đếm ngược: 10.000 USD mỗi ngày
Sự Phát Triển từ Hoạt Động Khép Kín đến Mô Hình Đối Tác
Ban đầu, Medusa hoạt động như một biến thể mã độc tống tiền khép kín, với cùng một nhóm tội phạm vừa phát triển phần mềm độc hại vừa thực hiện các cuộc tấn công. Tuy nhiên, nó đã chuyển sang mô hình đối tác, trong đó các nhà phát triển tập trung vào đàm phán tiền chuộc trong khi tuyển dụng các đối tác thông qua các diễn đàn web đen để thực hiện các cuộc tấn công thực tế. Những nỗ lực tuyển dụng này có thể liên quan đến các khoản thanh toán từ 100 đô la Mỹ đến 1 triệu đô la Mỹ cho công việc độc quyền, tạo ra một mạng lưới phân tán các tội phạm mạng với vai trò chuyên biệt.
Phương Pháp Tấn Công Tinh Vi
Vector lây nhiễm chính của Medusa là các chiến dịch lừa đảo được thiết kế để đánh cắp thông tin đăng nhập của nạn nhân. Khi có được quyền truy cập ban đầu, những kẻ tấn công sử dụng nhiều công cụ hợp pháp để thúc đẩy hoạt động của họ. Họ sử dụng các tiện ích như Advanced IP Scanner và SoftPerfect Network Scanner để xác định các hệ thống dễ bị tấn công và các cổng mở, trong khi PowerShell và Windows command prompt giúp tổng hợp danh sách các tài nguyên mạng. Để di chuyển ngang qua các mạng đã bị xâm phạm, bọn tội phạm tận dụng phần mềm truy cập từ xa bao gồm AnyDesk, Atera, và Splashtop cùng với Remote Desktop Protocol và PsExec.
Chiến Thuật Tống Tiền Kép
Medusa sử dụng một mô hình tống tiền kép đặc biệt hung hãn. Ngoài việc mã hóa dữ liệu nạn nhân để khiến nó không thể truy cập được, những kẻ tấn công còn đe dọa sẽ công khai phát hành thông tin đã đánh cắp trừ khi tiền chuộc được trả. Hoạt động này duy trì một trang web rò rỉ dữ liệu nơi các nạn nhân được liệt kê cùng với đồng hồ đếm ngược cho thấy khi nào thông tin của họ sẽ được công bố. Trong một thực hành đặc biệt tàn nhẫn, các nạn nhân có thể trả 10.000 đô la Mỹ bằng tiền điện tử để kéo dài thời gian đếm ngược chỉ thêm một ngày, tạo thêm áp lực để đáp ứng các yêu cầu tiền chuộc được báo cáo dao động từ 100.000 đô la Mỹ đến 15 triệu đô la Mỹ.
Được Gán cho Nhóm Spearwing
Theo nghiên cứu gần đây từ Symantec, mã độc tống tiền Medusa được gán cho một tác nhân đe dọa có tên là Spearwing. Kể từ đầu năm 2023, nhóm này đã công khai liệt kê gần 400 nạn nhân trên trang web rò rỉ dữ liệu của họ, mặc dù các nhà nghiên cứu bảo mật tin rằng số lượng tổ chức bị xâm phạm thực tế còn cao hơn nhiều.
Các Biện Pháp Bảo Vệ Được Khuyến Nghị
Các cơ quan liên bang đã vạch ra một số biện pháp bảo vệ quan trọng mà các tổ chức nên thực hiện để bảo vệ chống lại Medusa và các mối đe dọa tương tự. Những biện pháp này bao gồm vá các lỗ hổng bảo mật đã biết trong hệ điều hành và phần mềm, thực hiện phân đoạn mạng để ngăn chặn các vi phạm tiềm ẩn, lọc lưu lượng mạng, vô hiệu hóa các cổng không sử dụng và thiết lập các kế hoạch khôi phục dữ liệu toàn diện với các bản sao lưu ngoại tuyến.
Khuyến nghị bảo vệ:
- Cập nhật bản vá cho hệ điều hành, phần mềm và firmware
- Triển khai phân đoạn mạng
- Lọc lưu lượng mạng
- Vô hiệu hóa các cổng không sử dụng
- Tạo bản sao lưu dữ liệu ngoại tuyến
- Kích hoạt xác thực đa yếu tố
- Sử dụng mật khẩu dài thay vì thay đổi mật khẩu thường xuyên
- Giám sát các hoạt động mạng bất thường
Nhấn Mạnh vào Xác Thực và Giám Sát
Các chuyên gia bảo mật đặc biệt nhấn mạnh tầm quan trọng của việc bật xác thực đa yếu tố cho tất cả các dịch vụ bao gồm email và VPN. Trái ngược với một số lời khuyên bảo mật truyền thống, cảnh báo khuyến nghị sử dụng mật khẩu dài, phức tạp thay vì thường xuyên thay đổi thông tin đăng nhập, vì thực tiễn sau đôi khi có thể dẫn đến việc lựa chọn mật khẩu yếu hơn. Ngoài ra, các tổ chức nên triển khai các công cụ có thể giám sát và cảnh báo về hoạt động mạng bất thường, đặc biệt là sự di chuyển ngang có thể chỉ ra một cuộc tấn công đang diễn ra.