FBI cảnh báo: hơn 300 tổ chức quan trọng bị ảnh hưởng bởi phần mềm tống tiền Medusa

Cục điều tra liên bang Mỹ (FBI) và Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) cảnh báo, phần mềm tống tiền Medusa đã ảnh hưởng đến hơn 300 nạn nhân trên khắp các lĩnh vực cơ sở hạ tầng quan trọng kể từ lần đầu tiên phát hiện vào tháng 6/2021.

Medusa là phần mềm tống tiền dạng dịch vụ, sử dụng các kỹ thuật phổ biến như chiến dịch lừa đảo và khai thác lỗ hổng phần mềm chưa được vá.

CISA cho biết, tính đến tháng 02/2025, các nhà phát triển và chi nhánh của Medusa "đã tác động đến hơn 300 nạn nhân từ nhiều lĩnh vực quan trọng như y tế, giáo dục, pháp lý, bảo hiểm, công nghệ và sản xuất.

Các chuyên gia của Symantec báo cáo rằng, tổng số nạn nhân thậm chí còn cao hơn. Nhóm tin tặc liên quan đến Medusa đã liệt kê gần 400 tổ chức trên trang web rò rỉ dữ liệu của mình kể từ đầu năm 2023 và con số thực tế có thể cao hơn nhiều.

Medusa sử dụng mô hình tống tiền kép, thậm là gấp ba. Tin tặc đánh cắp, mã hóa dữ liệu của nạn nhân và đe dọa sẽ công khai thông tin đã đánh cắp được nếu tiền chuộc không được trả. Một số nạn nhân cho biết, họ đã được liên hệ lại và được yêu cầu trả tiền cho "trình giải mã thực sự".

Tác nhân đe dọa của Medusa hoạt động trên các diễn đàn hoặc thị trường tội phạm mạng và đi tuyển dụng các nhà môi giới để có được quyền truy cập ban đầu vào các nạn nhân tiềm năng. Đường dây này cung cấp cho tin tặc từ 100 đến 1 triệu đô la và cơ hội làm việc độc quyền cho Medusa.

Các thành viên của Medusa sẽ tiến hành các chiến dịch lừa đảo nhằm đánh cắp thông tin đăng nhập của nạn nhân nhưng cũng sẽ khai thác các lỗ hổng phần mềm đã biết. Trước đây, chúng đã được phát hiện đang lợi dụng các lỗ hổng SQL của ScreenConnect và Fortinet EMS, cùng với các lỗ hổng khác.

Bên trong mạng của nạn nhân, Medusa quét các cổng thường dùng, sử dụng các công cụ dòng lệnh để liệt kê mạng và hệ thống tệp, và lạm dụng thành phần Windows Management Instrumentation để truy vấn thông tin hệ thống.

Kẻ đe dọa làm rối loạn các tải trọng PowerShell và mã hóa chúng bằng base64. Đôi khi, tin tặc sẽ vô hiệu hóa hoặc xóa các công cụ diệt vi-rút bằng trình điều khiển dễ bị tấn công hoặc đã ký.

Medusa sẽ chọn phần mềm truy cập từ xa dựa trên bất kỳ công cụ tương tự nào đã có trong môi trường của nạn nhân.

Để đánh cắp dữ liệu, tin tặc dựa vào công cụ Rclone, một chương trình dòng lệnh phổ biến trong các băng nhóm ransomware để đồng bộ hóa các tệp với các dịch vụ lưu trữ đám mây. Sau đó, chúng triển khai một trình mã hóa có tên là gaze.exe, mã hóa các tệp có phần mở rộng tệp .medusa.

Quá trình gaze.exe chấm dứt mọi dịch vụ liên quan đến sao lưu, bảo mật, cơ sở dữ liệu, giao tiếp, chia sẻ tệp và trang web, tiến tới xóa các bản sao ẩn và mã hóa tệp bằng AES-256 trước khi thả ghi chú tiền chuộc. Sau đó, các tác nhân sẽ tự tay tắt, mã hóa máy ảo và xóa các công cụ đã cài đặt trước đó của chúng", CISA cho biết.

Ghi chú tiền chuộc "READ_ME_MEDUSA!!!.txt" yêu cầu nạn nhân liên hệ với Medusa trong vòng 48 giờ qua trò chuyện trực tiếp trên trình duyệt Tor hoặc Tox, một nền tảng nhắn tin tức thời được mã hóa đầu cuối.

Các tác nhân Medusa sẽ gọi điện trực tiếp hoặc gửi email cho nạn nhân nếu họ không phản hồi. Trên trang web đen của mình, Medusa đăng các yêu cầu tiền chuộc với các siêu liên kết trực tiếp đến ví tiền điện tử và ở giai đoạn này, băng nhóm đồng thời quảng cáo dữ liệu cho những người mua quan tâm trước khi bộ đếm thời gian đếm ngược kết thúc.

Nạn nhân có tùy chọn thêm một ngày vào bộ đếm thời gian đếm ngược bằng cách trả 10.000 đô la.

“Các cuộc điều tra của FBI xác định rằng sau khi trả tiền chuộc, một nạn nhân đã được một thành viên Medusa khác liên lạc, người này tuyên bố rằng người đàm phán đã đánh cắp số tiền chuộc mà nạn nhân đã trả và yêu cầu trả lại một nửa số tiền để cung cấp “trình giải mã thực sự” – có khả năng chỉ ra một kế hoạch tống tiền ba lần”, thông báo viết.

CISA và FBI đã liệt kê các biện pháp giảm thiểu rủi ro, bao gồm vá các lỗ hổng đã biết, phân đoạn mạng, triển khai các kế hoạch phục hồi và nhiều biện pháp khác.