德克萨斯州沃斯县机构遭到美杜莎勒索软件团伙袭击

德克萨斯州塔兰特县的一个政府机构 – 位于达拉斯堡中北部的一个主要县。沃斯大都市地区——确认已成为美杜莎犯罪团伙实施勒索软件攻击的受害者。

3 月 21 日的攻击专门针对塔兰特县评估区 (TAD)，导致该机构的部分系统瘫痪，部分数据无法访问。

TAD 首席评估师 Joe Don Bobbitt 在周三发给 Cyber​​news 的一份声明中表示：“塔兰特评估区可以确认，它是由名为 Medusa 的黑客犯罪组织实施的勒索软件网络攻击的受害者。”

“这种恶意攻击破坏了我们网络的部分内容，并对某些系统和数据进行了加密，”博比特说。

TAD 于 4 月 6 日在 Medusa 泄露博客上列出。截至本原始报告（4 月 9 日），该县组织距离该团伙发出预警将公布据称在袭击中被盗的数据还有大约四天的时间。

博比特表示，该机构目前正在与领先的网络安全专家合作，帮助安全地恢复受影响的系统。

“TAD 致力于让利益相关者随时了解情况，并感谢公众的耐心和理解，因为我们有条不紊地致力于补救这次攻击并尽快恢复全面运营。在这场混乱期间，为居民提供基本服务仍然是我们的首要任务，”他说。

该机构正在与当局合作，于 4 月 3 日在其网站上发布了初步调查结果的最新信息。

“已确定有人未经授权访问我们的网络，这导致少量个人信息可能被泄露。我们的调查确定，不到 300 人受法律保护的个人信息受到此事件的影响。”TAD 表示。

博比特周三表示：“保护纳税人数据对我们来说至关重要，我们正在采取措施通知个人信息可能受到影响的个人。”

TAD 没有具体透露勒索软件组织泄露了哪些信息或窃取了多少数据，但 Medusa 现在威胁称，除非支付 10 万美元的赎金，否则将泄露所谓的被盗数据。

该团伙发布了据称在攻击期间泄露的近 40 份文件的样本缓存。

Cyber​​news 能够查看所谓的样本，这些样本似乎是各种财务文件、商业和住宅房产数据库、业主信息、房产记录、法庭文件、董事会成员信息、税务信息、员工记录等。

Skybox Security 技术总监霍华德·古德曼 (Howard Goodman) 博士表示，针对塔兰特县评估区的勒索软件攻击“清楚地表明，组织迫切需要采取主动、持续的网络防御方法。”

他说，美杜莎网络犯罪团伙拥有“臭名昭著的国际网络攻击历史”。

古德曼指出，“事实证明，传统的反应性措施越来越不足以对抗美杜莎等对手的先进策略。”

他表示，“驾驭不断变化的数字环境需要的不仅仅是技术升级；还需要技术升级”。它需要我们对网络威胁的感知和准备方式进行根本性转变，从被动的姿态转变为主动的、预期的策略。”

TAD 第二次违规

TAD 是该县 73 个管辖区的地方财产税评估部门。 2021 年人口普查显示，塔兰特县约有 210 万人居住，政府办公室位于德克萨斯州沃斯堡市。

德克萨斯州政府恰好是少数几个不向居民征税的州之一，相反，这项任务被推迟到当地市政当局，这使得 TAD 成为一个重要机构。

据其网站称，除了财产评估外，TAD 还管理和确定房主、老年人、残疾人、残疾退伍军人以及慈善或宗教组织的财产税免税资格。

TAD 网络中处理和存储的敏感个人信息量对于任何想要从被盗数据中获利的勒索软件团伙来说将被视为福音。

尽管 TAD 表示，攻击中仅暴露了少量个人数据，但通常情况下，攻击发生后的全部影响尚不清楚。

显然，这并不是塔兰特评估区第一次成为数据泄露的受害者。

该机构发布了一份关于此次泄露的综合事件响应报告，其中称攻击者于 2022 年 4 月渗透到网络中，直到近一年后的 2023 年 4 月最终被从系统中驱逐。

此次发现的违规行为导致 TAD 的网站服务在 2022 年至 2023 年的多个时期内无法使用。

报告称，该攻击的最初来源从未被发现，持续存在的威胁行为者的持续存在也从未被发现。

美杜莎是谁？

Medusa 勒索软件团伙于 2022 年底出现，此后一直活跃。

去年 12 月，美杜莎在不到一周的时间里占领了三个独立的学区，泄露了数千名学生和教师的个人信息。

同年 11 月，宾夕法尼亚州的另外两个学区也遭到袭击。而明尼阿波利斯公立学校在 2023 年早些时候遭到袭击，并要求支付 100 万美元的赎金。

Medusa 的泄密博客显示，该组织在 12 月公布了所有三个学区的文件。

此外，11 月，威胁行为者袭击了丰田的金融服务公司，影响了欧洲和非洲的运营，迫使该公司的一些系统以及星巴克和宜家使用的加拿大支付处理金融科技公司Moneris关闭数天。

据信，Medusa 以勒索软件即服务 (RaaS) 模式运作，将其签名勒索软件变体的使用权出售给其他“犯罪附属机构”，以换取利润分成。

据Cyber​​news 勒索软件监控工具Ransomlooker统计，仅在过去 6 个月内，Medusa 就已造成 97 名受害者，使其跻身 2024 年迄今为止最活跃团伙前五名。

古德曼建议，为了有效应对复杂的威胁（例如 Medusa 勒索软件组织），组织必须采用持续威胁暴露管理 (CTEM)。

Goodman 解释说，CTEM 方法超越了零星的安全评估，提供了对漏洞的持续、实时的洞察。

古德曼表示：“对网络安全采取动态和协作的立场——不仅让内部利益相关者参与，还与外部专家和政府建立伙伴关系——可以显着增强组织抵御多方面网络威胁环境的能力。”