菲律宾信息技术部发布Medusa勒索软件防范指南

在菲律宾健康保险公司(Philhealth)受到安全事件影响后，菲律宾信息技术部于2023年9月24日发布了一系列预防措施和安全行动清单，以应对系统感染Medusa勒索软件的情况。

该机构强调了定期攻击面监控、各种系统的端口清单以及文件、系统、流程和其他数字资产的定期备份的重要性。它还强调了实施安全信息和事件管理系统以及要求在所有政府办公室安装反恶意软件工具的要求。

信息技术部还建议实施网络分段，禁止在所有政府办公室使用未经许可的盗版软件，并仔细审查可疑的电子邮件，特别是来自未知地址的电子邮件。

当局发布了这些预防措施，以提高对Medusa勒索软件威胁的认识，特别是考虑到菲律宾健康保险公司于9月22日发生的黑客事件。据报道，Medusa团伙要求支付30万美元的赎金，并威胁政府发布其系统上的机密数据。

与此同时，菲律宾健康保险公司计划于9月25日恢复其系统。

信息技术部表示，Medusa勒索软件是通过利用公开暴露的远程桌面协议服务器分发的，方法包括暴力攻击、钓鱼活动或利用现有漏洞。

该机构补充道：“一旦进入网络，Medusa勒索软件将通过服务器消息块或利用Windows管理工具在网络上横向移动，感染其他计算机。一旦执行，上述勒索软件将终止超过280个Windows服务和进程，包括可能防止文件加密的程序。其中包括邮件服务器、数据库服务器、备份服务器和安全应用程序的Windows服务。”

它继续说道：“然后，勒索软件将删除Windows阴影卷副本，以防止它们用于恢复文件。之后，Medusa将加密各种扩展名的文件，例如.docx、.xlsx、.pptx、.pdf、.jpg、.png、.mp3等。它使用AES-256加密算法，并将.MEDUSA扩展名附加到加密文件上。然后，勒索软件将创建一个名为!!!READ_ME_MEDUSA!!!.txt的勒索通知文本文件。勒索通知指示受害者通过TOR聊天或TOX ID与攻击者联系。”