Cơ quan điều tra hàng đầu của Mỹ, FBI, mới đây đã phát đi thông báo cảnh báo về sự tăng trưởng của các cuộc tấn công mã độc tống tiền do nhóm Medusa thực hiện, ảnh hưởng đến người dùng các dịch vụ như Gmail, Outlook và các mạng riêng ảo (VPN). Nhằm giảm thiểu nguy cơ và tăng cường an ninh mạng, FBI đã kêu gọi những người dùng này thực hiện các biện pháp bảo vệ cần thiết và hành động một cách khẩn trương để bảo vệ hệ thống của mình.
Người dùng Gmail cần chú ý trước mã độc tống tiền
Nhóm Medusa, bắt đầu hoạt động từ tháng 6 năm 2021, hiện được xem là một trong những tổ chức tội phạm mạng nguy hiểm nhất. Với phương thức cung cấp dịch vụ mã độc tống tiền (RaaS) cho các đối tượng khác, nhóm này đã tấn công thành công ít nhất 300 đối tượng, bao gồm cả cá nhân và tổ chức doanh nghiệp.
Medusa sử dụng các kỹ thuật tinh vi như xã hội học và lợi dụng các lỗ hổng chưa được vá lấp để đột nhập vào hệ thống. Tim Morris, một chuyên gia an ninh mạng từ Tanium, đã nhấn mạnh rằng việc đối phó với nhóm này đòi hỏi một kế hoạch bảo mật toàn diện, bởi Medusa có khả năng thâm nhập sâu và ẩn mình hiệu quả. Jon Miller, CEO của Halcyon, cũng cho biết nhóm Medusa có chiến lược kỹ lưỡng và thường nhắm đến các tổ chức quan trọng, vốn không thể ngừng hoạt động trong thời gian dài.
Trong cuộc điều tra mới nhất vào tháng 2 năm 2025, FBI đã thu thập được những thông tin chi tiết về cách thức hoạt động của nhóm Medusa và công bố các chiến thuật, kỹ thuật cũng như quy trình mà nhóm này áp dụng trong một báo cáo an ninh mạng có mã số AA25-071A vào ngày 12 tháng 3.
Để giúp người dùng Gmail, Outlook và VPN chống lại mối đe dọa từ Medusa, FBI đã đề xuất một loạt biện pháp khẩn cấp. Đầu tiên, cơ quan này khuyến nghị mọi người kích hoạt xác thực hai yếu tố (2FA) cho tất cả các dịch vụ để tăng cường độ an toàn cho dữ liệu cá nhân. Ngoài ra, FBI cũng khuyến cáo người dùng nên:
- Thiết lập mật khẩu mạnh và phức tạp cho mọi tài khoản.
- Lưu giữ bản sao dữ liệu quan trọng ở nhiều nơi an toàn.
- Cập nhật thường xuyên hệ thống và phần mềm.
- Sử dụng công cụ giám sát mạng để nhận diện hoạt động bất thường.
- Hạn chế quyền quản trị và kiểm soát chặt chẽ các tài khoản có quyền hạn cao.
- Vô hiệu hóa các công cụ dòng lệnh và tập lệnh không cần thiết.
- Đóng các cổng mạng không sử dụng để hạn chế nguy cơ bị tấn công.
Tuy nhiên, một số chuyên gia an ninh mạng nhận định rằng việc đào tạo nhận thức cho người dùng cũng nên được coi là một phần quan trọng của các biện pháp phòng chống, do rất nhiều cuộc tấn công ransomware bắt nguồn từ lỗi của con người. Đây là một khía cạnh cần được chú trọng bằng cách học cách phát hiện rủi ro và tránh những lừa đảo phổ biến.