MedusaLocker 勒索病毒组的最新威胁

关键要点

• 由俄罗斯支持的 MedusaLocker 勒索病毒组利用远程桌面协议（RDP）的弱访问控制，增强了其攻击手段。
• 美国卫生与公众服务部（HHS）发出警告，敦促医疗机构采取多层次的访问和身份验证控制以应对当前的威胁。
• MedusaLocker 已在多个行业活跃超过三年，但医疗行业仍是其主要目标。
• 该组织采用勒索即服务（RaaS）模式，与其他威胁参与者共享其变种以获取赎金的分成。

根据美国卫生与公众服务部的最新报告，MedusaLocker勒索病毒组已通过利用远程桌面协议（RDP）服务的弱访问控制和暴力破解策略，增强了其攻击的能力。HHS的网络安全协调中心（HC3）警告称，医疗实体必须“全面要求”多层次的访问和身份验证控制，以提高防御力，抵御正在利用已知软件漏洞的 MedusaLocker攻势，这些漏洞正好针对没有安全防护的 RDP 服务器和桌面。

此外，此警告也给医疗机构带来了关于勒索病毒的增加关注，因为当前的威胁形势令人担忧。像 MedusaLocker这样“较低知名度但威胁巨大的勒索病毒变种”，应成为医疗安全决策者的焦点和关注重点。

MedusaLocker已经在多个行业中活跃了超过三年，然而医疗行业仍然是其主要目标，主要是因为该行业在疫情期间的应对措施导致了混乱的局面，使得攻击者得以获利。

该组织以勒索即服务（RaaS）模式运作，与其他威胁参与者分享其变种，从中获得赎金收入。截至 2022 年 6 月，合作伙伴通常可以获得约 55% 至 60%
的赎金，开发者则获取其余部分。

最初其攻击策略主要依赖于网络钓鱼和电子邮件垃圾邮件活动，但最近一年来，攻击者更倾向于利用 RDP漏洞。尽管如此，该组织仍然利用含有恶意软件的附件进行钓鱼攻击，以便渗透进入网络。

访问技术

已知的访问技术包括对 RDP 服务进行暴力密码猜测，以及利用脆弱的 RDP 服务。警告指出：“如果猜测的密码属于域管理员，他们可以以更高权限执行命令。”

在成功攻击后，MedusaLocker 会通过批处理文件在网络中传播，并部署 PowerShell脚本，随后禁用安全和取证软件，重启被感染设备以躲避检测。勒索病毒负载在重启后启动，以 AES-256 加密算法加密文件。

根据 HC3 的描述，这些参与者在网络中持续存在，通过“删除本地备份并禁用启动恢复，最终在每个包含被感染主机加密数据的文件夹中放入赎金通知”。

研究人员还观察到，MedusaLocker 创建了一个名为“svhost”的计划任务，每 15 分钟自动运行一次勒索病毒。

该威胁分析详细列出了每种策略，供安全领导者审阅并提出建议的调整。特别是，RDP 永远不应对互联网开放，IT 领导者应确保所有 RDP 实例的默认端口从
3389 更改为其他端口。

此外，组织应使用多层次的访问和身份验证控制，监控 RDP使用情况，并重点关注首次出现和异常行为，特别是失败的登录尝试。账户锁定策略对于防范暴力破解攻击至关重要，同时优先处理已知的 RDP 漏洞补丁。

如，国家级威胁参与者在最近几个月把目光投向了包括医疗在内的关键基础设施实体。这些攻击包括像 MedusaLocker 和 Clop这样的勒索病毒以及。