Chính quyền Hoa Kỳ đang gióng lên hồi chuông cảnh báo về làn sóng tấn công mạng do Medusa, một loại phần mềm tống tiền đáng sợ, dàn dựng. Trong một tuyên bố chung, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) và Cục Điều tra Liên bang (FBI) cho biết Medusa đã ảnh hưởng đến "hơn 300 nạn nhân trên nhiều lĩnh vực cơ sở hạ tầng quan trọng" vào tháng trước. Các lĩnh vực mục tiêu bao gồm y học, giáo dục, luật, bảo hiểm, công nghệ và xây dựng.
Bằng cách sử dụng các chi nhánh của mình, được coi là những nhà môi giới đơn giản, băng nhóm này đã tăng cường các cuộc tấn công trong những năm gần đây. Các nhà nghiên cứu của Symantec báo cáo rằng họ đã quan sát thấy mức tăng 42% từ năm 2023 đến năm 2024. Symantec tuyên bố rằng mức tăng này tiếp tục tăng cường, với số lượng các cuộc tấn công liên quan đến Medusa được quan sát thấy vào tháng 1 và tháng 2 năm 2025 gần gấp đôi so với hai tháng đầu năm 2024.
Giống như hầu hết các tin tặc tống tiền khác, băng nhóm này thực hiện hành vi tống tiền kép. Chúng không chỉ mã hóa dữ liệu và biến mất. Đầu tiên, chúng đánh cắp tất cả các tập tin và đe dọa sẽ công bố chúng lên Internet để tăng áp lực lên mục tiêu. Đồng thời, Medusa đang làm mọi cách có thể để phá vỡ mọi hoạt động của cơ sở hạ tầng. Jon Miller, CEO kiêm đồng sáng lập Halcyon, cho biết phần mềm tống tiền này có khả năng làm tê liệt hơn 200 dịch vụ và quy trình của Windows chỉ để giành lợi thế trong các cuộc đàm phán với công ty. Forbes.
FBI khuyên tất cả người dùng Internet nên bật xác thực hai yếu tố ngay lập tức. Cơ chế bảo mật này sẽ ngăn chặn tội phạm mạng. Ngoài ra, điều quan trọng là phải đảm bảo mọi phần mềm được cài đặt trên máy tính của bạn đều được cập nhật. Cập nhật thường xuyên cũng sẽ ngăn chặn tin tặc đạt được mục đích của chúng. Không có gì ngạc nhiên khi FBI khuyến cáo người dùng nên chọn mật khẩu phức tạp và khó đoán.
Đối với chuyên gia Roger Grimes của KnowBe4, các khuyến nghị của FBI là chưa đủ. Theo ông, "cách chính để đánh bại" tin tặc vẫn là "đào tạo nhận thức về an ninh". Điều bắt buộc là người dùng phải được hướng dẫn cách xác định tất cả các cạm bẫy. Nếu không được đào tạo bài bản, họ có nguy cơ mắc phải các chiến thuật tấn công xã hội của tội phạm mạng. Những chiến thuật này, nhằm mục đích thúc đẩy mục tiêu cài đặt vi-rút hoặc mở tệp tin có chứa bẫy, xuất hiện trong 70% đến 90% các cuộc tấn công. Trong những điều kiện này, cảnh báo của FBI tương đương với việc khuyến nghị "hãy khóa nhiều cửa hơn" khi "tội phạm luôn đột nhập vào nhà bạn qua cửa sổ", Roger Grimes cho biết.
Nguồn: CISA
Làn sóng tấn công của Medusa
Nổi lên vào tháng 1 năm 2021, băng đảng Medusa kiếm lợi từ một loại phần mềm tống tiền cùng tên, được cung cấp theo hình thức đăng ký cho tất cả tội phạm mạng. Với một khoản phí, tin tặc có thể sử dụng vi-rút để dàn dựng các cuộc tấn công và tống tiền các công ty. Tuy nhiên, các nhà phát triển Medusa vẫn là những người xử lý các cuộc đàm phán với các mục tiêu. Kể từ khi xuất hiện, nhóm này đã gây ra hàng trăm nạn nhân trên toàn thế giới, bao gồm Toyota Financial Services, một công ty con của Toyota.Bằng cách sử dụng các chi nhánh của mình, được coi là những nhà môi giới đơn giản, băng nhóm này đã tăng cường các cuộc tấn công trong những năm gần đây. Các nhà nghiên cứu của Symantec báo cáo rằng họ đã quan sát thấy mức tăng 42% từ năm 2023 đến năm 2024. Symantec tuyên bố rằng mức tăng này tiếp tục tăng cường, với số lượng các cuộc tấn công liên quan đến Medusa được quan sát thấy vào tháng 1 và tháng 2 năm 2025 gần gấp đôi so với hai tháng đầu năm 2024.
Tống tiền và thao túng kép
Để thực hiện các cuộc tấn công của mình, Medusa sử dụng các lỗ hổng chưa được vá và nhiều chiến thuật kỹ thuật xã hội khác nhau. Nói tóm lại, tin tặc thao túng mục tiêu để cài đặt vi-rút vào máy tính của họ. Khi phần mềm độc hại đã xâm nhập vào hệ thống, Medusa sẽ làm mọi cách để đánh cắp dữ liệu nhạy cảm. Những kẻ tấn công chủ yếu nhắm vào thông tin đăng nhập, chẳng hạn như mật khẩu.Giống như hầu hết các tin tặc tống tiền khác, băng nhóm này thực hiện hành vi tống tiền kép. Chúng không chỉ mã hóa dữ liệu và biến mất. Đầu tiên, chúng đánh cắp tất cả các tập tin và đe dọa sẽ công bố chúng lên Internet để tăng áp lực lên mục tiêu. Đồng thời, Medusa đang làm mọi cách có thể để phá vỡ mọi hoạt động của cơ sở hạ tầng. Jon Miller, CEO kiêm đồng sáng lập Halcyon, cho biết phần mềm tống tiền này có khả năng làm tê liệt hơn 200 dịch vụ và quy trình của Windows chỉ để giành lợi thế trong các cuộc đàm phán với công ty. Forbes.
FBI cảnh báo người dùng Outlook và Gmail
Trong bối cảnh này, FBI khuyến cáo tất cả các tổ chức hãy hành động. Các đặc vụ liên bang cho biết các dịch vụ email phổ biến như Microsoft Outlook và Gmail đặc biệt bị ảnh hưởng bởi các cuộc tấn công của Medusa. Trường hợp này cũng xảy ra với người dùng VPN, những người vẫn là điểm xâm nhập ưa thích của phần mềm tống tiền.FBI khuyên tất cả người dùng Internet nên bật xác thực hai yếu tố ngay lập tức. Cơ chế bảo mật này sẽ ngăn chặn tội phạm mạng. Ngoài ra, điều quan trọng là phải đảm bảo mọi phần mềm được cài đặt trên máy tính của bạn đều được cập nhật. Cập nhật thường xuyên cũng sẽ ngăn chặn tin tặc đạt được mục đích của chúng. Không có gì ngạc nhiên khi FBI khuyến cáo người dùng nên chọn mật khẩu phức tạp và khó đoán.
Đối với chuyên gia Roger Grimes của KnowBe4, các khuyến nghị của FBI là chưa đủ. Theo ông, "cách chính để đánh bại" tin tặc vẫn là "đào tạo nhận thức về an ninh". Điều bắt buộc là người dùng phải được hướng dẫn cách xác định tất cả các cạm bẫy. Nếu không được đào tạo bài bản, họ có nguy cơ mắc phải các chiến thuật tấn công xã hội của tội phạm mạng. Những chiến thuật này, nhằm mục đích thúc đẩy mục tiêu cài đặt vi-rút hoặc mở tệp tin có chứa bẫy, xuất hiện trong 70% đến 90% các cuộc tấn công. Trong những điều kiện này, cảnh báo của FBI tương đương với việc khuyến nghị "hãy khóa nhiều cửa hơn" khi "tội phạm luôn đột nhập vào nhà bạn qua cửa sổ", Roger Grimes cho biết.
Nguồn: CISA
