Mã độc Ransomware Medusa đe dọa người dùng Gmail, Outlook

Medusa – Mối đe dọa từ nhóm tin tặc Spearwing

Theo thông báo từ Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) và Cục Điều tra Liên bang Mỹ (FBI), biến thể ransomware này có tên "Medusa" được xác định lần đầu tiên vào tháng 6/2021. Đến tháng 2/2025, hơn 300 nạn nhân đã bị ảnh hưởng bởi các cuộc tấn công mạng liên quan đến ransomware này.

Mã độc Ransomware Medusa đe dọa người dùng Gmail, Outlook. Ảnh: USA Today

Bài đăng trên blog của thương hiệu bảo mật Symantec ngày 6/3 cho biết nhóm tin tặc đứng sau Medusa được xác định là Spearwing, hoạt động từ đầu năm 2023. Nhóm này thực hiện các cuộc tấn công với phương thức "tống tiền kép", vừa mã hóa dữ liệu trên hệ thống của nạn nhân, vừa đánh cắp dữ liệu để tăng áp lực buộc nạn nhân phải trả tiền chuộc.

Theo Symantec, nhóm Spearwing đã gây ảnh hưởng đến hàng trăm người, với khoảng 400 nạn nhân xuất hiện trên trang rò rỉ dữ liệu của nhóm. Trên thực tế, con số này có thể cao hơn nhiều. Mức tiền chuộc mà nhóm này yêu cầu dao động từ 100.000 USD đến 15 triệu USD. Ngoài việc xâm nhập vào hệ thống mạng, nhóm còn chiếm đoạt các tài khoản hợp pháp, bao gồm cả tài khoản của các tổ chức y tế.

Theo FBI và CISA, các tin tặc của Medusa thường tuyển dụng những "nhà môi giới truy cập" và trả cho họ từ 100 USD đến 1 triệu USD để hỗ trợ các cuộc tấn công. Chúng sử dụng các phương pháp phổ biến như: Các chiến dịch lừa đảo (phishing) qua email; Khai thác lỗ hổng phần mềm chưa được cập nhật; Chiếm quyền truy cập tài khoản hợp pháp để xâm nhập hệ thống.

Cách bảo vệ trước ransomware Medusa

Để giảm thiểu rủi ro bị tấn công bởi Medusa ransomware, FBI và CISA khuyến nghị:

Lập kế hoạch khôi phục dữ liệu: Lưu trữ nhiều bản sao dữ liệu quan trọng ở các vị trí an toàn, tách biệt như ổ cứng ngoài, thiết bị lưu trữ hoặc trên đám mây.

Bảo mật tài khoản: Yêu cầu tất cả tài khoản phải có mật khẩu mạnh và thay đổi thường xuyên.

Bật xác thực đa yếu tố (MFA): Đặc biệt là với email, VPN và các tài khoản truy cập hệ thống quan trọng.

Cập nhật phần mềm: Luôn đảm bảo hệ điều hành, phần mềm và firmware được cập nhật bản vá bảo mật mới nhất.

Phân đoạn mạng: Giúp hạn chế sự lây lan của ransomware nếu bị tấn công.

Giám sát hệ thống: Sử dụng công cụ giám sát mạng để phát hiện các hoạt động đáng ngờ đồng thời sử dụng VPN hoặc Jump Host cho truy cập từ xa.

Chặn truy cập không xác định: Lọc lưu lượng mạng để ngăn chặn các nguồn không tin cậy và vô hiệu hóa các cổng không sử dụng.

Sao lưu dữ liệu: Giữ bản sao lưu ngoại tuyến và đảm bảo tất cả dữ liệu sao lưu được mã hóa và bảo mật.

Việc nâng cao cảnh giác và thực hiện các biện pháp bảo mật chặt chẽ có thể giúp cá nhân và tổ chức giảm nguy cơ trở thành nạn nhân của Medusa ransomware.

Duy Trinh (theo USA Today)