概述

Medusa勒索软件团伙首次出现于 2021 年 6 月，起初攻击活动相对较少，受害者也较少，但在从2023 年1月中旬起该团伙开始加大了攻击力度，同时推出了托管在Tor网络上的“Medusa Blog”，该博客用于展示拒绝支付赎金的受害者。该团伙采用勒索软件即服务 (RaaS) 业务模型，采用威胁泄露数据的双重勒索模式威胁受害者支付赎金。此外该团伙是一个由经济利益驱使的犯罪组织。威胁行为者要求支付赎金来删除所有数据，同时他们也接受感兴趣的买家付款获得数据。

通过分析发现，受害者遍布全球多个行业。受害者国家分布广泛，覆盖多个国家和地区，没有明显的地域限制；受害者行业类型广泛，覆盖多个行业和领域，偏向医疗保健行业和教育机构。

有多个威胁行为者使用"Medusa"一词进行命名。我们在2019年曾捕获到Medusa勒索病毒，并自那时起对该家族进行持续跟踪。后来发现有多个团伙声称自己是"Medusa"，例如Medusa僵尸网络、MedusaLocker勒索软件和Medusa安卓恶意软件。然而，根据我们的观察结果，这四种威胁并不属于同一组织。目前我们还不清楚为什么会有这么多攻击团伙以"Medusa"命名。可能是因为在希腊神话中，"Medusa"是一个具有神话和传说背景的名字，代表着希腊神话中的蛇发女妖，给人一种神秘和强大的感觉。因此，可能有人选择将恶意软件命名为"Medusa"以吸引用户的注意。另一种可能是恶意软件的特征，就像Medusa一样具有将人石化的破坏能力。本次事件中的Medusa勒索软件被加密文件添加“.MEDUSA”后缀，勒索信文件名为“!!!READ_ME_MEDUSA!!!.txt”，并且会将受害者公布在“Medusa Blog”博客上，如下图所示：

勒索软件攻击会给受影响的组织和个人带来严重的后果，可能导致敏感或有价值的数据泄露、业务中断、声誉受损。勒索攻击通常伴随着数据泄露，攻击者从受感染的系统收集敏感有价值信息。这可能包括个人身份信息、财务数据或知识产权。此类信息被盗可能会造成严重后果，包括身份盗用、金融欺诈或企业间谍活动等。

对于拒绝支付赎金的受害者，Medusa采取公布敏感数据的措施，在社交媒体上发布一些吹嘘黑客攻击的帖子，附加带有数据泄密网站的链接，这种举措能够增加数据泄密站点的曝光度。大多数勒索团伙通常会将数据泄露站点搭建在Tor 网络上，相比之下，Medusa团伙将数据发布在传统网站上，虽然这种方法很容易被执法部门接管，但是通常会有更广泛的受众群体，下载速度也更快，而且不需要专门的 Tor 浏览器。

今年2月，Medusa团伙攻击了明尼阿波利斯公立学校 (MPS) ，并要求支付100万美元的赎金。MPS拒绝支付赎金并表示已经通过备份成功恢复了数据。然而，Medusa勒索团伙将窃取到的100GB数据发布在互联网上，并通过Telegram 频道进行推广。这些数据包含大量敏感信息，如智力测试结果、药物使用信息，甚至可能遭受性侵害的信息。每份信息都包含受害者的姓名、生日和地址。虽然教育和医疗保健行业一直是勒索软件攻击的主要目标，但该事件反映出勒索策略日益激进，以及更加高度、更加残酷地利用弱势群体作为对组织施加压力的手段。Recorded Future 的勒索软件专家Allan Liska表示：“We will continue to see more of these aggressive extortion tactics from ransomware gangs as victims refuse to pay. The next evolution can only be more dangerous”

攻击者主要通过RDP爆破、泄露的RDP凭据、鱼叉式网络钓鱼、垃圾邮件获得初始访问权限。一旦进入网络中，Medusa会通过SMB服务或者Windows管理工具（WMI）在内网中横向，然后通过一系列黑客工具分析内网环境和有价值的数据，并尝试渗透到域控，随后将所有价值的数据发送的私有云存储服务器并监控数据流，当获取到必要数据后，攻击者会将勒索软件部署到所有可访问的主机中，最后开始执行勒索软件，加密文件。

（一）影响系统

Medusa 不仅针对 Windows 系统，还具有感染 Linux 服务器的变体，通常部署 XMRig 等挖矿程序。对受害者可能造成财务损失和敏感信息暴露等不可逆转的损害，建议保持警惕、定期备份和更新安全措施。

（二）功能分析（Windows版本）

Windows 加密器将接受命令行选项，允许威胁参与者配置如何在设备上加密文件。

为了避免受害者通过卷影副本恢复备份数据，该勒索软件通过执行以下命令删除卷影。

1.deletes shadow volume copies

2.vssadmin Delete Shadows /all /quiet

3.vssadmin resize shadowstorage /for=C: /on=C: /maxsize=401MB

4.vssadmin resize shadowstorage /for=%s /on=%s /maxsize=unbounded

为了删除与备份相关的本地文件以及删除虚拟硬盘驱动器，该勒索软件会执行以下命令：

del/s /f /q  %s*.VHD %s*.bac %s*.bak %s*.wbcat %s*.bkf %sBackup*.* %sbackup*.* %s*.set %s*.win %s*.dsk

借助BCrypt 库使用 AES-256 + RSA-2048 加密来加密文件。加密文件时，勒索软件会将 .MEDUSA 扩展名附加到加密文件名中，并释放文件名为“!!!READ_ME_MEDUSA!!!.txt”的勒索信，勒索信中展示了如何通过实时聊天程序Tox Chat或者邮件与攻击者取得联系。加密后文件系统如下所示：

!!!READ_ME_MEDUSA!!!.txt勒索信内容如下所示：

为了防止加密过程中，由于文件被占用导致加密失败。该勒索软件会终止280多个服务和进程，包括邮件服务器、备份服务器、数据库服务器和安全软件。

部分终止的进程

zoolz.exe,agntsvc.exe,dbeng50.exe,dbsnmp.exe,encsvc.exe,excel.exe,firefoxconfig.exe,infopath.exe,isqlplussvc.exe,msaccess.exe,msftesql.exe,mspub.exe,mydesktopqos.exe,mydesktopservice.exe,mysqld.exe,mysqld-nt.exe,mysqld-opt.exe,ocautoupds.exe,ocomm.exe,ocssd.exe,onenote.exe,oracle.exe,outlook.exe,powerpnt.exe,sqbcoreservice.exe,sqlagent.exe,sqlbrowser.exe,sqlservr.exe,sqlwriter.exe,steam.exe,synctime.exe,tbirdconfig.exe,thebat.exe,thebat64.exe,thunderbird.exe,visio.exe,winword.exe,wordpad.exe,xfssvccon.exe,tmlisten.exe,PccNTMon.exe,CNTAoSMgr.exe,Ntrtscan.exe,mbamtray.exe

部分终止的服务

Acronis VSS Provider,Enterprise Client Service,Sophos Agent,Sophos AutoUpdate Service,Sophos Clean Service,Sophos Device Control Service,Sophos File Scanner Service,Sophos Health Service,Sophos MCS Agent,Sophos,MCS Client,Sophos Message Router,Sophos Safestore Service,Sophos System Protection Service,Sophos Web,Control Service,SQLsafe Backup Service,SQLsafe Filter Service,Symantec System Recovery,Veeam Backup Catalog,Data Service,AcronisAgent,AcrSch2Svc,Antivirus,ARSM,BackupExecAgentAccelerator,BackupExecAgentBrowser,BackupExecDeviceMediaService,BackupExecJobEngine,BackupExecManagementService,BackupExecRPCService,BackupExecVSSProvider,bedbg,DCAgent,EPSecurityService,EPUpdateService,EraserSvc11710,EsgShKernel,FA_Scheduler,IISAdmin,IMAP4Svc,macmnsvc,masvc,MBAMService,MBEndpointAgent,McAfeeEngineService,McAfeeFramework,McAfeeFrameworkMcAfeeFramework,McShield,McTaskManager,mfemms,mfevtp,MMS,mozyprobackup,MsDtsServer,MsDtsServer100,MsDtsServer110,MSExchangeES,MSExchangeIS,MSExchangeMGMT,MSExchangeMTA,MSExchangeSA,MSExchangeSRS,MSOLAP$SQL_2008,MSOLAP$SYSTEM_BGC,MSOLAP$TPS,MSOLAP$TPSAMA,MSSQL$BKUPEXEC,MSSQL$ECWDB2,MSSQL$PRACTICEMGT,MSSQL$PRACTTICEBGC,MSSQL$PROFXENGAGEMENT,MSSQL$SBSMONITORING,MSSQL$SHAREPOINT,MSSQL$SQL_2008,MSSQL$SYSTEM_BGC,MSSQL$TPS,MSSQL$TPSAMA,MSSQL$VEEAMSQL2008R2,MSSQL$VEEAMSQL2012,MSSQLFDLauncher,MSSQLFDLauncher$PROFXENGAGEMENT,MSSQLFDLauncher$SBSMONITORING,MSSQLFDLauncher$SHAREPOINT,MSSQLFDLauncher$SQL_2008,MSSQLFDLauncher$SYSTEM_BGC,MSSQLFDLauncher$TPS,MSSQLFDLauncher$TPSAMA,MSSQLSERVER,MSSQLServerADHelper100,MSSQLServerOLAPService,MySQL80,MySQL57,ntrtscan,OracleClientCache80,PDVFSService,POP3Svc,ReportServer,ReportServer$SQL_2008,ReportServer$SYSTEM_BGC,ReportServer$TPS,ReportServer$TPSAMA,RESvc,sacsvr,SamSs,SAVAdminService,SAVService,SDRSVC,SepMasterService,ShMonitor,Smcinst,SmcService,SMTPSvc,SNAC,SntpService,sophossps,SQLAgent$BKUPEXEC,SQLAgent$ECWDB2,SQLAgent$PRACTTICEBGC,SQLAgent$PRACTTICEMGT,SQLAgent$PROFXENGAGEMENT,SQLAgent$SBSMONITORING,SQLAgent$SHAREPOINT,SQLAgent$SQL_2008,SQLAgent$SYSTEM_BGC,SQLAgent$TPS,SQLAgent$TPSAMA,SQLAgent$VEEAMSQL2008R2,SQLAgent$VEEAMSQL2012,SQLBrowser,SQLSafeOLRService,SQLSERVERAGENT,SQLTELEMETRY,SQLTELEMETRY$ECWDB2,SQLWriter,SstpSvc,svcGenericHost,swi_filter,swi_service,swi_update_64,TmCCSF,tmlisten,TrueKey,TrueKeyScheduler,TrueKeyServiceHelper,UI0Detect,VeeamBackupSvc,VeeamBrokerSvc,VeeamCatalogSvc,VeeamCloudSvc,VeeamDeploymentService,VeeamDeploySvc,VeeamEnterpriseManagerSvc,VeeamMountSvc,VeeamNFSSvc,VeeamRESTSvc,VeeamTransportSvc,W3Svc,wbengine,WRSVC,MSSQL$VEEAMSQL2008R2,SQLAgent$VEEAMSQL2008R2,VeeamHvIntegrationSvc,swi_update,SQLAgent$CXDB,SQLAgent$CITRIX_METAFRAME,SQL Backups,MSSQL$PROD,Zoolz 2 Service,MSSQLServerADHelper,SQLAgent$PROD,msftesql$PROD,NetMsmqActivator,EhttpSrv,ekrn,ESHASRV,MSSQL$SOPHOS,SQLAgent$SOPHOS,AVP,klnagent,MSSQL$SQLEXPRESS,SQLAgent$SQLEXPRESS,wbengine,kavfsslp,KAVFSGT,KAVFS,mfefire

为了避免系统崩溃或无法启动，从而引起受害者的警觉，该勒索软件会避免加密的如下系统目录

当所有操作执行完毕后，勒索软件会执行以下命令删除自身

cmd /c ping localhost -n 3 > nul & del <勒索文件>

防御建议 

1. 避免将重要服务在外网开放，若一定要开放，需增加口令复杂度，避免使用弱口令。

2. 避免打开可疑或来历不明的邮件，尤其是其中的链接和附件等，如一定要打开未知文件，请先使用杀毒软件进行扫描。

深信服解决方案

【深信服终端安全管理系统aES】已支持查杀拦截此次事件使用的病毒文件，aES全新上线“动静态双AI引擎”，静态AI能够在未知勒索载荷落地阶段进行拦截，动态AI则能够在勒索载荷执行阶段进行防御，通过动静态AI双保险机制可以更好地遏制勒索蔓延。不更新也能防护；但建议更新最新版本，取的更好防护效果。