美國聯邦調查局 (FBI) 與網路安全與基礎設施安全局 (CISA) 近期同時針對一款名為 Medusa 的勒索軟體發佈警示,此勒索軟體由駭客組織「Spearwing」開發,並正以勒索軟體即服務 (RaaS) 的方式與其他駭客合作,陸續攻擊了包含醫療、教育、法律、保險、科技與製造等多個產業,其多是利用作業系統、資訊基礎設施 (如 Microsoft Exchange)「安全性漏洞」或透過「社交工程」等方式進行攻擊,一旦成功入侵,便會嘗試停用端點安全防護系統,並植入 Medusa 勒索軟體以進行檔案加密,博通賽門鐵克也已針對上述攻擊活動更新防護特徵,請保持各項定義檔更新以強化防護。
Symantec可攔阻特徵類型
| 檔案防護特徵 | SONAR特徵 | 網路防護特徵 | 可攔阻版本 |
| Downloader.Trojan
FastReverseProxy Hacktool PUA.Gen.2 Ransom.Medusa Trojan Horse Trojan.Gen.2 Trojan.Gen.9 Trojan.Gen.MBT Trojan.KillAV Web.Reputation.1 WS.Malware.1 WS.SecurityRisk.3 WS.SecurityRisk.4 Heur.AdvML.A!300 Heur.AdvML.A!400 Heur.AdvML.A!500 Heur.AdvML.A!100 Heur.AdvML.A!200 Heur.AdvML.C |
SONAR.RansomLckbit!g3
SONAR.SuspDriver!g30 SONAR.SuspDriver!g39 SONAR.SuspDriver!g40 SONAR.SuspLaunch!g18 SONAR.SuspLaunch!g138 SONAR.TCP!gen1 SONAR.TCP!gen6 |
Audit: Bad Reputation Application Activity System Infected: Trojan.Backdoor Activity 634 |
檔案防護特徵碼:2025/03/1719 SONAR特徵碼:2025/03/171 網路防護特徵碼:2025/03/17 rev.61 |
| 說明文件 | Medusa Ransomware Activity Continues to Increase | ||
銳傑科技建議
端點防護系統強化事項
- 確認伺服器及端點電腦端點防護系統狀態並保持定義檔持續更新,同時更新勒索軟體防護政策內容。
- 開啟端點防護自我防護功能並設定為攔截,同時啟用密碼保護,設定移除及停用密碼,並限制用戶端例外設定的權限。
- 強化伺服器主機安全防護機制,評估安裝並啟用「應用程式及裝置控管」與「網路入侵預防」功能。
- 優先評估導入 Symantec EDR (SEDR) 系統,SEP 用戶無需額外安裝 Agent 即可啟用,升級授權後可強化:
- 確保所有端點行為皆可被監控與記錄,增加企業內部即時偵測與反應能力,提高威脅可視性。
- 透過EDR事件記錄與時間軸功能,完整追蹤攻擊來源、傳播途徑與影響範圍,強化事件調查與分析能力,加速資安團隊應變處置。
- 透過行為分析技術,對合法工具的行為進行檢測,以因應 (Living-off-the-Land, LOTL) 新形態攻擊。
重要系統主機強化事項
- 定期進行重要主機備份,並以三二一原則(至少備份 3 份、使用 2 種不同的備份方式、其中 1 份放在異地)妥善保存重要檔案。
- 清查企業 Microsoft 網域中的 Domain Admin 群組是否存在異常的帳號或不應存在的帳號,確認安全事件日誌是否有可疑活動紀錄。
- 請強化網域管理員權限帳號的安全管控機制,如:限制網域管理員權限帳號登入來源、網域管理員權限帳號不允許非上班時間使用等。
- 透過 VPN、RDP 連線至內部環境時,需導入兩階段驗證,且具備身份識別控管。