Cục Điều tra Liên bang Mỹ (FBI) cùng Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) vừa phát đi khuyến cáo khẩn cấp, cảnh báo người dùng các dịch vụ email như Gmail và Outlook về mối đe dọa nghiêm trọng từ nhóm ransomware Medusa. Nhóm tội phạm mạng này đã hoạt động từ năm 2021 và đang ngày càng áp dụng mô hình tống tiền kép trong các hoạt động của mình.
Medusa có thể gây ra các sự cố tấn công ransomware nghiêm trọng.
Những kẻ điều hành phần mềm tống tiền Medusa, được gọi là “tác nhân Medusa”, sử dụng chiến thuật mã hóa dữ liệu của nạn nhân và đe dọa công khai thông tin bị đánh cắp nếu không nhận được tiền chuộc, còn được gọi là hình thức tấn công mã độc tống tiền (ransomware). Nhóm này chủ yếu xâm nhập vào hệ thống thông qua email lừa đảo và khai thác các lỗ hổng phần mềm chưa được vá.
Tính đến tháng 2/2025, Medusa đã nhắm mục tiêu vào hơn 300 tổ chức trong các ngành công nghiệp quan trọng như chăm sóc sức khỏe, giáo dục, pháp lý, bảo hiểm, công nghệ và sản xuất. Nạn nhân thường thấy hệ thống của họ bị khóa và thông tin nhạy cảm bị giữ làm con tin cho đến khi tiền chuộc được trả.
Để giảm thiểu rủi ro từ phần mềm tống tiền Medusa, FBI, CISA và Trung tâm chia sẻ và phân tích thông tin đa tiểu bang Mỹ (MS-ISAC) đã đưa ra khuyến nghị các biện pháp an ninh mạng dành cho người dùng Gmail hay Outlook.
1. Tăng cường bảo mật tài khoản
- Sử dụng mật khẩu dài và duy nhất cho tất cả tài khoản.
- Bật xác thực đa yếu tố (MFA), đặc biệt đối với thư web, mạng riêng ảo (VPN) và các hệ thống có quyền truy cập quan trọng.
Người dùng cần tăng cường bảo mật tài khoản của mình.
- Triển khai kế hoạch sao lưu và phục hồi mạnh mẽ.
- Lưu trữ nhiều bản sao dữ liệu quan trọng ở những vị trí an toàn, phân đoạn như ổ cứng ngoài, bộ nhớ đám mây hoặc bản sao lưu ngoại tuyến.
- Mã hóa và kiểm tra bản sao lưu thường xuyên để đảm bảo tính toàn vẹn của dữ liệu.
2. Giữ cho hệ thống được cập nhật
- Đảm bảo tất cả hệ điều hành, phần mềm và firmware được cập nhật và vá lỗi thường xuyên.
- Ưu tiên vá lỗ hổng trong các hệ thống kết nối internet.
3. Tăng cường bảo mật mạng
- Phân đoạn mạng để hạn chế sự di chuyển ngang của phần mềm tống tiền.
- Sử dụng công cụ giám sát mạng để phát hiện hoạt động bất thường và ngăn chặn truy cập trái phép.
- Yêu cầu VPN hoặc máy chủ nhảy để truy cập từ xa.
- Lọc lưu lượng mạng để ngăn chặn các nguồn không xác định hoặc không đáng tin cậy truy cập vào các hệ thống quan trọng.
4. Hạn chế quyền truy cập đặc quyền
- Kiểm toán và hạn chế quyền quản trị dựa trên nguyên tắc đặc quyền tối thiểu.
Hãy hạn chế các quyền truy cập đặc quyền.
- Tắt các hoạt động dòng lệnh và tập lệnh khi có thể để ngăn chặn tình trạng leo thang đặc quyền.
- Giám sát bộ điều khiển miền, máy chủ và máy trạm để tìm ra các tài khoản trái phép.
5. Thực hiện các biện pháp kiểm soát an ninh
- Vô hiệu hóa các cổng không sử dụng và hạn chế các nỗ lực quét trái phép.
- Sử dụng các công cụ phát hiện và phản hồi điểm cuối (EDR) để giám sát và ghi lại lưu lượng mạng để phát hiện hoạt động bất thường.
FBI và CISA đã phát hành khuyến cáo an ninh mạng chi tiết (AA25-071A) vào ngày 12/3/2025, nêu rõ các khía cạnh kỹ thuật trong hoạt động của Medusa và các biện pháp bảo vệ cần thiết. Các tổ chức được khuyến khích tham khảo nội dung Cross-Sector Cybersecurity Performance Goals (CPG) của CISA để nâng cao khả năng bảo mật của mình.
