微软安全团队近日发布报告指出,Medusa勒索软件组织正在改变其攻击策略,频繁利用新发现的漏洞在公开披露前实施攻击。该组织攻击节奏极快,通常在获得初始访问权限后的24小时内即可完成数据外泄与勒索软件部署。
攻击周期缩短至24小时
微软研究人员观察到,Medusa能够高效识别暴露在互联网上的外围系统。一旦发现漏洞,该组织会立即利用漏洞进入系统,并随即创建新用户账户以维持长期的访问权限。虽然部分攻击在一天内即可完成,但典型的Medusa攻击过程通常持续五到六天,期间大量依赖ConnectWise ScreenConnect、AnyDesk和SimpleHelp等合法远程管理工具。
微软在报告中特别提到了两个案例:CVE-2026-23760(SmarterMail漏洞)和CVE-2025-10035(GoAnywhere MFT漏洞)。Medusa成员在这些漏洞被公开披露前一周便已开始利用,这凸显了勒索软件攻击者在识别和武器化漏洞方面的高超技能。
“该威胁行为者具备高强度的运营节奏,且擅长识别暴露的外围资产,”微软在报告中表示。这类攻击已对医疗、教育、专业服务以及金融行业造成严重影响,受害者涵盖澳大利亚、英国和美国的多个机构。
Medusa组织自2021年浮出水面以来,一直将医疗机构和地方政府作为重点攻击目标。近期,该组织声称对美国新泽西州帕塞伊克县以及密西西比大学医学中心(UMMC)发动了破坏性攻击。尽管UMMC在联邦调查局和国土安全部的协助下已于3月2日全面恢复运营,但该事件仍引发了广泛关注。
安全专家根据该组织在俄语论坛的活跃表现、其操作工具中使用的西里尔字母,以及该组织刻意避开独立国家联合体(CIS)目标的行为,推测其位于俄罗斯境内。此外,赛门铁克公司的研究人员近期还发现,著名的朝鲜黑客组织“Lazarus”也曾调用Medusa勒索软件进行攻击。
针对日益严峻的威胁形势,微软建议组织必须在防御 perimeter 网络攻击之前,彻底梳理自身的数字足迹,以应对攻击者对新漏洞近乎即时的武器化趋势。
