Grupa Medusa zwiększa aktywność ransomware

John P. Mello,
18.01.2024, godz. 08:08

Według raportu opublikowanego przez jednostkę 42 firmy Palo Alto Networks, szybko rozwijająca się grupa ransomware eskaluje swoje działania i uruchomiła nowy blog oferujący ofiarom różne opcje płatności. Nowy blog Medusa jest wykorzystywany przez grupę do publikowania skradzionych danych z groźbą ich ujawnienia, jeśli ofiara nie spełni żądań okupu.

Na stronie, do której można uzyskać dostęp za pośrednictwem sieci Tor, ofiara może zobaczyć "odliczanie" do czasu, gdy jej dane zostaną upublicznione i dostępne do pobrania, cenę za usunięcie danych oraz cenę przedłużenia czasu - 10 000 USD - za opóźnienie publicznego ujawnienia danych.

Oprócz bloga Medusa, grupa utworzyła publiczny kanał Telegram o nazwie "wsparcie informacyjne", który jest bardziej dostępny niż tradycyjne strony Dark Web, w celu ujawniania plików wykradzionych z zaatakowanych organizacji.

Zobacz również:

Ransomware - liczba ataków spada, ale są bardziej kosztowne

"W ciągu ostatniego roku zaobserwowaliśmy znaczną liczbę poważnych, dostępnych w internecie luk w zabezpieczeniach, które stanowiły godną uwagi okazję do wykorzystania przez grupy ransomware" - mówi Anthony Galiette, Senior, inżynier wsteczny z Unit 42. "Uważamy, że te krytyczne luki przyczyniły się do wzrostu aktywności Medusy w ostatnich miesiącach.

Grupa Medusa nie ma kodeksu etycznego

Może być jeszcze jeden powód zwiększonej aktywności Medusy. "Medusa odniosła ostatnio duży sukces, a jest to grupa, która koncentruje się w szczególności na sektorze opieki zdrowotnej" - zauważa Darren Williams, dyrektor generalny i założyciel BlackFog, firmy zajmującej się bezpieczeństwem punktów końcowych. "Może to być czynnik przyczyniający się do ich sukcesu, ponieważ sektor opieki zdrowotnej jest zarówno bogaty w dane, jak i ubogi pod względem praktyk cyberbezpieczeństwa i inwestycji w starszy sprzęt i oprogramowanie".

Doel Santos, główny badacz zagrożeń w Unit 42, zwraca uwagę na pewne charakterystyczne aspekty gangu Medusa. "Podczas gdy możliwości techniczne różnią się w zależności od grupy ransomware, Medusa jest jedną z niewielu, które zaobserwowaliśmy przy użyciu narzędzi takich jak NetScan do tworzenia i wdrażania oprogramowania ransomware".

Dodał, że grupa nie ma kodeksu etycznego. "W 2023 roku widzieliśmy, jak grupa naraziła na szwank wiele okręgów szkolnych i opublikowała bardzo wrażliwe informacje o uczniach" - mówi Santos.

Medusa korzysta z brokerów dostępu początkowego w celu uzyskania dostępu do sieci

Inne różnice obejmują posiadanie przez Medusę własnego zespołu ds. mediów i brandingu, koncentrowanie się na wykorzystywaniu luk w zabezpieczeniach w internecie oraz korzystanie z brokerów wstępnego dostępu (IAB) w celu uzyskania dostępu do systemów. "Brokerzy wstępnego dostępu zapewniają podmiotom stanowiącym zagrożenie dostęp do drzwi wejściowych organizacji" - wyjaśnia Galiette. "Chociaż wiąże się to z kosztami, wykorzystanie tych grup okazało się bardzo lukratywne w przeszłości".

"Ogólnie rzecz biorąc", dodaje Galiette, "widzimy, że bardziej aktywne lub zaawansowane grupy ransomware wykorzystują brokerów wstępnego dostępu. Mniejsze lub powstające grupy ransomware niekoniecznie mają kapitał, aby wykorzystać IAB w ten sam sposób".

Grupa zajmuje się również podwójnymi okupami. "Wykorzystanie podwójnego okupu jest godne uwagi w przypadku Medusy, gdzie wykorzystują jeden okup do odszyfrowania zaszyfrowanych części środowiska i oddzielne żądanie wymuszenia, aby zapobiec wyciekowi skradzionych danych od swoich ofiar do internetu" - mówi Steve Stone, szef Rubrik Zero Labs, jednostki badawczej ds. cyberbezpieczeństwa Rubrik, globalnej firmy zajmującej się bezpieczeństwem danych i oprogramowaniem do tworzenia kopii zapasowych.

Nieprzemyślane ataki - uniwersalne zagrożenie ze strony ransomware

Pojawienie się oprogramowania ransomware Medusa pod koniec 2022 r. i jego rozgłos w 2023 r. oznacza znaczący rozwój w krajobrazie ransomware, zauważono w raporcie Unit 42. Operacja ta pokazuje złożone metody rozprzestrzeniania się, wykorzystuje zarówno luki w zabezpieczeniach systemu, jak i brokerów początkowego dostępu, jednocześnie umiejętnie unikając wykrycia dzięki technikom "living-off-the-land".

Blog Medusa oznacza taktyczną ewolucję w kierunku wielokrotnego wymuszania okupu, przy czym grupa stosuje przejrzystą taktykę nacisku na ofiary poprzez żądania okupu publikowane online. Z 74 organizacjami w różnych branżach, które do tej pory ucierpiały, masowe ataki Medusy podkreślają uniwersalne zagrożenie stwarzane przez takie podmioty ransomware.

"Jak widać ze statystyk, problem nie tylko rośnie, ale przyspiesza w tempie, za którym organizacje nie mogą nadążyć" - dodaje Williams. "Musimy również zdać sobie sprawę, że rewolucja AI odgrywa pewną rolę w tym trendzie, ponieważ obecnie obserwujemy, jak aktorzy zagrożeń szkolą swoje systemy w zakresie luk w zabezpieczeniach, produktów i ludzi. Chociaż firmy zajmujące się cyberbezpieczeństwem również wykorzystują sztuczną inteligencję do zapobiegania, jest to obecnie gra w kotka i myszkę, a organizacje nie wdrażają tych nowych technologii wystarczająco szybko lub wcale, aby zapewnić odpowiednią ochronę".

John Mello pisze na temat technologii i cyberbezpieczeństwa i jest byłym redaktorem zarządzającym Boston Business Journal i Boston Phoenix. Pisze również dla witryny marketingowej TechBeacon firmy Hewlett-Packard.

Artykuł pochodzi z CSOonline

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem IDGLicensing@theygsgroup.com