【安全资讯】Medusa勒索软件活动持续增加

概要：

随着网络安全威胁的不断升级，Medusa勒索软件的活动自2023年以来持续增长，攻击数量在2024年激增42%。2025年初的攻击数量几乎是2024年同期的两倍，显示出这一威胁的严重性和影响力。

主要内容：

Medusa勒索软件由一个名为Spearwing的黑客组织运营，采用勒索软件即服务（RaaS）模式，实施双重勒索攻击，先盗取受害者数据再进行加密，以施加更大压力。自2023年初以来，Spearwing已列出近400名受害者，实际受害者数量可能更高。攻击者要求的赎金从10万美元到1500万美元不等。

攻击者通常通过利用未修补的漏洞，尤其是Microsoft Exchange服务器的漏洞，获得对受害者网络的访问权限。此外，Spearwing还可能通过劫持合法账户进行渗透。攻击链中使用了多种工具，包括远程管理软件和恶意驱动程序，攻击者利用“自带易受攻击驱动程序”（BYOVD）技术来禁用安全软件，规避检测。

Medusa的攻击手法保持一致，使用PDQ Deploy等合法工具进行横向移动和部署恶意软件。攻击者在网络中进行数据窃取时，常用Rclone和Navicat等工具。2025年1月，Spearwing针对美国一家医疗机构的攻击中，感染了数百台机器，显示出其对医疗行业的威胁。此事件突显了勒索软件对关键基础设施和企业的潜在影响，呼吁加强网络安全防护。