Medusa勒索软件玩阴招！伪造驱动文件强拆杀毒系统

Meise

杀毒软件突然变"瞎子"？最新研究发现，臭名昭著的Medusa黑客团伙竟在攻击包里塞进"特洛伊木马驱动"，专拆安全防护墙。

网络安全公司Elastic Security Labs近日捕获Medusa团伙的新套路：攻击时自带伪造的驱动文件smuol.sys，这个文件不仅顶着正版防护软件CrowdStrike Falcon的马甲，还带着中国厂商ABYSSWORKER的失效数字证书。这套“黄金组合”能让杀毒软件和入侵检测系统集体"失明"，方便黑客安装勒索加密程序。

这种"自带漏洞驱动"的玩法其实不算新鲜。黑客们早就发现，很多安全软件对驱动程序检查不严，于是专门收集那些存在缺陷的老旧驱动，改头换面后当作破门锤。安全专家提醒，及时更新系统补丁仍是当前最有效的防御手段。

据美国网络安全部门2025年3月中旬公告，Medusa今年已攻破300多家关键单位，涉及医疗、教育、制造业等重要领域。FBI、CISA等机构特别点名提醒：该团伙与LockBit、RansomHub齐名，堪称勒索软件界的"三巨头"。

▶ 防护贴士

定期检查驱动文件数字证书状态
启用驱动程序强制签名验证功能
企业用户可部署驱动白名单机制
重要数据坚持"三二一"备份原则