自2023年1月首次现身以来,Medusa勒索软件组织已累计攻击近400家机构。2025年前两个月,其攻击频率骤增,短短60天内声称攻陷40余个目标,索要赎金从10万至1500万美元不等,受害者涵盖医疗机构、非营利组织、金融机构及政府部门。
据赛门铁克(Symantec)追踪报告,该组织代号为Spearwing,其攻击完全以经济利益驱动,不受意识形态约束,已成为继LockBit、BlackCat之后最具威胁的勒索势力之一。
横向渗透工具:使用合法远程管理软件SimpleHelp、AnyDesk、MeshAgent维持持久访问,并借助PDQ Deploy投放恶意工具、横向移动。
杀软终结术:通过BYOVD(自带漏洞驱动)技术加载恶意驱动KillAV,终止安全进程(此前也被BlackCat采用)。
数据收割组合拳:部署数据库工具Navicat执行查询,利用RoboCopy和Rclone批量窃取敏感数据。
在暗网建立数据泄露网站,按行业分类曝光受害者信息,甚至提供“数据购买服务”(如员工护照、财务记录等)。
RaaS分赃机制:采用勒索软件即服务(RaaS)模式,附属攻击者可分得55%-60%赎金,开发者保留剩余部分。
禁用高危工具:限制PDQ Deploy、AnyDesk等RMM软件的使用,监控异常进程活动。
勒索谈判陷阱:切勿直接联系攻击者提供的内嵌联系方式(如ProtonMail),需通过专业谈判团队介入;
Medusa的崛起与LockBit、BlackCat等传统巨头的衰落形成鲜明对比。其“无国界”攻击模式和云化运营(如在明网建立数据泄露站点)标志着勒索组织正从“隐秘犯罪”转向公开化商业运作。
2024年至今,勒索软件生态持续分化,Anubis、CipherLocker等新兴RaaS组织加入混战,全球企业需警惕“漏洞未补→供应链渗透→天价赎金”的连锁风险。