【安全资讯】Medusa利用Fortinet漏洞（CVE-2023-48788）进行隐秘勒索攻击

概要：

Bitdefender最近的一份报告揭示了Medusa勒索软件组织的最新动态。该组织不仅持续进行攻击，还在暗网和表面网上建立了独特的在线存在，成为一个值得关注的勒索软件团体。Medusa通过其多平台的存在和公开的受害者信息，扩大了其影响力。

主要内容：

Medusa勒索软件组织通过其在表面网和暗网的多平台存在，显著扩大了其影响力。该组织在表面网上的“OSINT Without Borders”博客上公布受害者信息，并通过社交媒体如X（前Twitter）和Telegram发布攻击更新。这种公开的存在对于勒索软件运营商来说是非常不寻常的。

Medusa作为一种勒索软件即服务（RaaS）运营，允许附属黑客进行攻击并分享赎金。这种结构使Medusa能够迅速扩展，目标涵盖医疗、制造、教育、金融和政府等多个行业。自2023年以来，Medusa的受害者数量不断增加，预计2024年将超过200个组织。

Medusa的攻击通常从利用已知漏洞开始，例如Fortinet EMS系统中的CVE-2023-48788 SQL注入漏洞。一旦进入网络，Medusa会部署webshell等工具以保持持久性并促进数据外泄。该组织还使用ConnectWise和AnyDesk等远程管理工具来逃避检测。Medusa的勒索软件使用非对称RSA加密关键文件，文件扩展名为.medusa或.mylock。

为防御Medusa的攻击，组织必须积极修补已知漏洞，特别是与远程管理系统和SQL注入相关的漏洞。监控第三方工具如ConnectWise和AnyDesk的可疑网络活动也能提供早期预警。此外，企业应教育员工关于勒索软件的危险，建立健全的备份协议，并实施先进的端点检测和响应（EDR）解决方案。