Cảnh báo về cuộc tấn công Ransomware Medusa nguy hiểm và cách bảo vệ bạn

Ảnh: Internet

Các cơ quan an ninh mạng liên bang và FBI đã cảnh báo công chúng về một âm mưu ransomware nguy hiểm đang ảnh hưởng đến hàng trăm người. FBI, Cơ quan An ninh Hạ tầng và An ninh Mạng (CISA), và Trung tâm Chia sẻ và Phân tích Thông tin Liên bang (MS-ISAC) đã phát hành một thông báo an ninh mạng chung vào tuần trước để chia sẻ thông tin về ransomware Medusa. Thông báo này là một phần trong sáng kiến #StopRansomware của CISA, nhằm cảnh báo về các biến thể ransomware và các tác nhân đe dọa, cùng với các chiến thuật, kỹ thuật và thủ đoạn mà họ sử dụng.

Medusa là một nhà cung cấp ransomware-as-a-service (ransomware dưới dạng dịch vụ) được phát hiện lần đầu tiên vào tháng 6 năm 2021, theo thông báo. Tính đến tháng 2, Medusa đã ảnh hưởng đến hơn 300 nạn nhân từ nhiều ngành công nghiệp và cơ sở hạ tầng quan trọng, bao gồm y tế, giáo dục, pháp lý, bảo hiểm, công nghệ và sản xuất.
Ban đầu, Medusa hoạt động như một biến thể ransomware khép kín, nơi mọi phát triển và hoạt động liên quan đều do cùng một nhóm các tác nhân đe dọa mạng kiểm soát. Tuy nhiên, sau đó Medusa đã chuyển sang mô hình đối tác, trong đó các nhà phát triển và đối tác (gọi là “tác nhân Medusa”) sử dụng mô hình “ép buộc đôi”, tức là họ mã hóa dữ liệu của nạn nhân và đe dọa công khai thông tin đã bị rò rỉ nếu không nhận được tiền chuộc, theo thông báo.

Lời đe dọa tiền chuộc yêu cầu nạn nhân liên lạc trong vòng 48 giờ thông qua trò chuyện trực tuyến trên trình duyệt hoặc nền tảng nhắn tin mã hóa đầu cuối, theo thông báo. Nếu không nhận được phản hồi từ nạn nhân, các tác nhân Medusa có thể liên lạc trực tiếp qua điện thoại hoặc email.
Medusa cũng vận hành một trang web rò rỉ dữ liệu, nơi hiển thị thông tin của các nạn nhân cùng với các đồng hồ đếm ngược tới thời điểm phát hành thông tin, theo thông báo. “Lời đe dọa tiền chuộc được đăng trên trang web, với các liên kết trực tiếp đến ví tiền điện tử của các đối tác Medusa”, thông báo cho biết. “Ở giai đoạn này, Medusa cũng quảng cáo việc bán dữ liệu cho các bên quan tâm trước khi đồng hồ đếm ngược kết thúc. Nạn nhân cũng có thể trả 10.000 USD bằng tiền điện tử để thêm một ngày vào đồng hồ đếm ngược”.

Cách để bảo vệ tổ chức của bạn trước mối đe dọa Ransomware Medusa

FBI, CISA và MS-ISAC khuyến cáo một số biện pháp mà các tổ chức nên thực hiện ngay lập tức để bảo vệ khỏi các mối đe dọa ransomware Medusa:

  • Yêu cầu sử dụng VPN hoặc Jump Hosts (máy chủ trung gian) để truy cập từ xa.
  • Giám sát các nỗ lực quét và truy cập trái phép.
  • Yêu cầu nhân viên sử dụng mật khẩu dài và cân nhắc không yêu cầu thay đổi mật khẩu thường xuyên, vì điều này có thể làm yếu đi bảo mật.
  • Yêu cầu sử dụng xác thực đa yếu tố cho tất cả các dịch vụ, đặc biệt là Gmail, email, VPN và các tài khoản truy cập hệ thống quan trọng.
  • Đảm bảo tất cả các hệ điều hành, phần mềm và phần cứng luôn được cập nhật.
  • Triển khai kế hoạch phục hồi để duy trì và lưu trữ nhiều bản sao dữ liệu nhạy cảm hoặc độc quyền và các máy chủ ở những vị trí tách biệt, phân đoạn và an toàn (ví dụ: ổ cứng, thiết bị lưu trữ, đám mây).
  • Phân tách mạng để ngăn chặn sự lây lan của ransomware.
  • Xác định, phát hiện và điều tra các hoạt động bất thường và khả năng di chuyển ngang của ransomware với công cụ giám sát mạng. Để hỗ trợ trong việc phát hiện ransomware, triển khai công cụ ghi lại và báo cáo tất cả lưu lượng mạng, bao gồm cả hoạt động di chuyển ngang trên mạng.

Các cuộc tấn công mạng gần đây vào cơ sở hạ tầng quan trọng

Trong những năm gần đây, chính phủ liên bang đã đẩy mạnh nỗ lực ngăn chặn tội phạm mạng toàn cầu, vốn ngày càng lan rộng. Các cơ quan liên bang đã phát hành nhiều thông báo cảnh báo về mối đe dọa của các cuộc tấn công mạng.
Tội phạm mạng là một “mối đe dọa đáng kể và ngày càng gia tăng” đối với an ninh quốc gia và kinh tế, theo Bộ Ngoại giao. Khi mọi người ngày càng phụ thuộc vào công nghệ thông tin và truyền thông, bộ này cho biết càng có nhiều tội phạm chuyển sang các kế hoạch lừa đảo trực tuyến.
Tội phạm mạng có thể bao gồm từ trộm cắp tài sản trí tuệ đến ransomware, có thể gây thiệt hại hàng tỷ đô la cho các doanh nghiệp và đe dọa các lĩnh vực quan trọng trên toàn quốc, theo Bộ Ngoại giao.
Sự gia tăng các sự cố tấn công mạng ác ý trùng hợp với sự bùng nổ trong giao tiếp trực tuyến trong đại dịch COVID-19, theo một nghiên cứu về mối đe dọa mạng năm 2023. Theo dữ liệu từ FBI, nghiên cứu cho biết tội phạm mạng đã tăng 400% trong suốt đại dịch.
Nhiều cuộc tấn công mạng nổi bật đã được công bố trong vài tháng qua. Vào tháng 3, 12 công dân Trung Quốc bị cáo buộc tấn công mạng để đánh cắp dữ liệu từ Bộ Tài chính và các tổ chức khác trên toàn thế giới.
Vào tháng 10 năm ngoái, các công tố viên liên bang thông báo rằng hai công dân Sudan phải đối mặt với cáo buộc điều hành một nhóm tấn công máy tính kiểu du kích nhằm “tuyên chiến mạng với Hoa Kỳ”, bằng cách tấn công FBI, bệnh viện, Hulu, Netflix, CNN, Microsoft, Reddit và X, trong số những tổ chức khác.