FBI, CISA và MS-ISAC vừa đưa ra cảnh báo chung về ransomware Medusa – mối đe dọa ngày càng nghiêm trọng đối với các tổ chức. Bản khuyến cáo công bố ngày 12/3/2025 cung cấp thông tin về chiến thuật, kỹ thuật và quy trình (TTPs) của Medusa, đồng thời kêu gọi doanh nghiệp thực hiện ngay các biện pháp phòng ngừa.
Medusa là một biến thể Ransomware-as-a-Service (RaaS), lần đầu xuất hiện năm 2021 và đã ảnh hưởng đến hơn 300 tổ chức thuộc các lĩnh vực quan trọng như y tế, giáo dục, công nghệ, bảo hiểm. Nhóm tấn công sử dụng mô hình tống tiền kép, vừa mã hóa dữ liệu vừa đe dọa công khai thông tin nếu nạn nhân không trả tiền chuộc.
Medusa thường xâm nhập hệ thống thông qua Initial Access Brokers (IABs), lợi dụng phishing hoặc lỗ hổng bảo mật để xâm nhập. Sau đó, chúng sử dụng Remote Desktop Protocol (RDP) và PsExec để di chuyển ngang, đánh cắp dữ liệu bằng Rclone, rồi tiến hành mã hóa, vô hiệu hóa các công cụ bảo mật như Windows Defender.
FBI, CISA và MS-ISAC đã đưa ra một loạt biện pháp giúp tổ chức phòng tránh ransomware Medusa bao gồm: Cập nhật và vá lỗi hệ thống, phân đoạn mạng, kiểm soát truy cập từ bên ngoài, luôn có phương án backup dữ liệu hệ thống.
Với mức độ nguy hiểm ngày càng gia tăng của Medusa ransomware, FBI, CISA và MS-ISAC kêu gọi các tổ chức thực hiện ngay các biện pháp bảo vệ cần thiết. Chủ động phòng thủ, giám sát an ninh chặt chẽ và thực hiện chiến lược ứng phó rõ ràng sẽ giúp giảm thiểu rủi ro, đảm bảo an toàn cho hệ thống trước các cuộc tấn công ngày càng tinh vi.
