轉型為勒索服務營運後，梅杜莎集團攻擊量大幅攀升

2024年中旬，Medusa（梅杜莎）勒索軟體集團轉變營運模式，從原本仰賴小型核心團隊的封閉式運作，轉型為RaaS模式並開始招募合作夥伴、分享營收。

這種類似企業加盟的模式讓美杜莎集團快速擴張。2024 年使用該集團基礎設施的攻擊事件暴增 43%，預計今年將再增加至少三分之一。自 2024 年中以來，美杜莎 RaaS 集團已成功入侵 300 至 400 個目標，其針對醫療和製造業等關鍵產業的攻擊，已造成重大衝擊。

資安服務供應商 Huntress 的首席威脅情資分析師 Greg Linares 指出，梅杜莎勒索組織的轉型演進是其成功的關鍵，使其得以鎖定更大規模的目標。自去年八月的低谷期以來，梅杜莎已有顯著轉變並快速成長。由於攻擊行動頗具成效，該組織已從鎖定小型企業轉向更大規模的企業。

這個勒索軟體集團的持續攀升已引起資安公司和政府機構的高度關注。上個月，美國聯邦調查局（FBI）、網路安全暨基礎設施安全局（CISA）以及多州資訊共享分析中心（MS-ISAC）共同發布警告，指出梅杜莎的攻擊已造成超過 300 個組織遭受入侵。

「服務型」營運模式的效率提升

今年三月初，Broadcom 公司的網路威脅研究員指出，代號「Spearwing」的 Medusa 自 2023 年以來攻擊活動成長了 43%。根據 Broadcom 評估，Spearwing 已躍升為僅次於 RansomHub 與 Qilin 的最活躍駭客組織。

Broadcom 賽門鐵克威脅獵捕團隊的資深情報分析師Brigid O'Gorman表示，該組織持續擴張，絲毫沒有減緩跡象。2025年前兩個月的Medusa攻擊事件較2024年同期增加近一倍，顯示其活動正在加速。這種成長很可能源自 LockBit 和 Noberus 等駭客組織遭到打擊後，在市場上留下的「空缺」。

專家指出，轉型為勒索即服務模式大幅提升了營運效率。該組織提供現成的系統工具（LOLbins），讓合作夥伴負責初始入侵和尋找脆弱目標。透過廣泛使用第三方工具來掩蓋行蹤，不只降低營運成本，還避免了開發和維護自有軟體的風險，同時也減低被偵測的機率。藉由採用現成系統工具和第三方應用程式進行攻擊，該組織成功達成零開發成本的目標。

精密入侵手法

轉型為勒索即服務只是該集團崛起的眾多原因之一。該集團除了與其他現代勒索軟體組織一樣，使用系統內建工具（Living off the Land）來規避資安軟體的偵測外，其工具組還包含了多種精密的入侵手法。

舉例來說，該集團利用了一個來自中國廠商的驅動程式簽章——這個簽章雖然合法但已被撤銷，並模仿了資安公司 CrowdStrike 的程式碼簽章。根據資料分析公司 Elastic 的資安團隊分析，此手法讓美杜莎能夠載入有漏洞的驅動程式來進行攻擊。這類被稱為「自帶有漏洞的驅動程式」（BYOVD）的攻擊手法，能有效繞過目標系統的端點防護。

因此，Elastic 威脅研究總監 Devon Kerr 強調，企業必須建立多層次的資安監控機制。組織需要整合多個資訊來源以偵測美杜莎的攻擊。透過同時監控端點、網路和雲端資源，企業能在面對這類防禦規避時，達到最佳的防護狀態。

RaaS 集團攻擊持續增加的另一個可能原因，是經濟不穩定促使更多駭客投入惡意活動。在經濟動盪時期，各類犯罪活動普遍會增加，資安研究團隊已明確觀察到這種關聯性。這種現象在2008年房市危機和近期COVID-19疫情期間皆清楚可見，印證了「罪犯不會錯過任何危機」的說法。

隨著全球經濟情勢愈發動盪，專家建議企業應採用多元技術來有效掌握資安攻擊面和資產狀況。企業需要建立多重資安監控機制，並部署感測器以強化網路設備和雲端資源的防護能力。由於無法阻擋看不見的威脅，企業應預設所有攻擊都會試圖停用安全防護，並據此做好完整準備。

本文轉載自 DarkReading。