Medusaランサムウェア：FBIとCISAが即時対応を要請

連邦サイバーセキュリティ当局は、ランサムウェア集団「メデューサ」による攻撃の急増に警戒を強めている。2021年6月に初めて検出されたこの集団は、フィッシングメールや古いソフトウェアの悪用といった、初歩的だが効果的な手法を用いてシステムに侵入し、データを人質に取ることで、近年勢いを増している。

FBI、サイバーセキュリティ・インフラセキュリティ庁（CISA）、マルチステート情報共有分析センター（MS-ISAC）は先週、共同勧告を発表し、企業や機関に対し、システム保護のための措置を直ちに講じるよう強く求めました。この警告は、政府が現在実施中の#StopRansomwareイニシアチブの一環です。

成長するランサムウェア・アズ・ア・サービス事業

Medusaは元々は非公開の組織でしたが、現在はRaaS（ランサムウェア・アズ・ア・サービス）モデルを採用しています。これは、開発者がランサムウェアソフトウェアを「Medusaアクター」と呼ばれるパートナーに提供し、彼らが攻撃を実行することを意味します。これらのアクターは、多くの場合、オンラインの犯罪フォーラムから採用され、Medusa専用に働くことでボーナスが支払われることもあります。

「これらの提携企業には、メデューサのために独占的に働く機会が提供され、100ドルから100万ドルの支払いが提供される」と勧告書には記されている。

Medusaの攻撃者は、フィッシングメールや、ScreenConnectリモートアクセスツールに影響を与えるCVE-2024-1709や、Fortinet製品の欠陥であるCVE-2023-48788などの既知の脆弱性を悪用することでシステムにアクセスすることがよくあります。侵入すると、ファイルを暗号化し、身代金を要求します。このグループの身代金要求メッセージには、被害者にライブチャットまたは暗号化されたメッセージングプラットフォームを通じて48時間以内に回答するよう求める内容が記されています。

被害者が応答しない場合、Medusa の攻撃者は恐喝行為をエスカレートさせる可能性があります。これは他のランサムウェア グループでも見られる戦術です。

Medusa が特に脅威となるのは、公開されているデータ漏洩サイトです。このサイトには、被害者のデータがカウントダウンタイマーとともに表示されます。タイマーが切れると、盗まれたデータは公開されるか、最高額の入札者に売却されます。場合によっては、被害者は時間延長を購入できるオプションが与えられ、1日の遅延で1万ドル相当の仮想通貨が支払われることもあります。

「2025年2月現在、メデューサの開発者および関連会社は、医療、教育、法律、保険、テクノロジー、製造業など、さまざまな重要インフラ分野の300人以上の被害者に影響を与えています」と勧告では指摘している。

Medusa の影響は世界中に及んでおり、過去の被害者にはミネアポリス公立学校が含まれており、2023 年の攻撃で 10 万人を超える生徒の機密情報が漏洩しました。

Medusaランサムウェアから組織を守る方法

この勧告では、組織に対し、Medusaから身を守るためにいくつかの重要な対策を講じるよう促しています。具体的には以下のとおりです。

• すべてのオペレーティング システム、ソフトウェア、ファームウェアが定期的に更新され、パッチが適用されていることを確認します。
• すべてのサービスにわたって多要素認証を実装します。
• 強力で固有のパスワードを使用する。

さらに、CISA は、感染の拡大を制限するためにネットワークをセグメント化し、不正なアクセスの試みをブロックするためにネットワーク トラフィックをフィルタリングすることを企業に推奨しています。

CISA は、詳細な検出方法と脅威の指標については、IT チームに #StopRansomware: Medusa ランサムウェアに関する勧告を確認するよう促しています。

こちらもご覧ください

• 調査によると、2024年にはランサムウェアの支払いが35%減少する見込み
• SonicWallレポート：「脅威アクターは前例のないスピードで動いている」
• ITリーダーのためのサイバーセキュリティ意識向上トレーニングガイド
• サイバーセキュリティ：さらに読むべき記事