Na stronie, do której można uzyskać dostęp za pośrednictwem sieci Tor, ofiara może zobaczyć "odliczanie" do czasu, gdy jej dane zostaną upublicznione i dostępne do pobrania, cenę za usunięcie danych oraz cenę przedłużenia czasu - 10 000 USD - za opóźnienie publicznego ujawnienia danych.

Oprócz bloga Medusa, grupa utworzyła publiczny kanał Telegram o nazwie "wsparcie informacyjne", który jest bardziej dostępny niż tradycyjne strony Dark Web, w celu ujawniania plików wykradzionych z zaatakowanych organizacji.

Zobacz również:

• Co trzecia firma w Polsce z cyberincydentem

"W ciągu ostatniego roku zaobserwowaliśmy znaczną liczbę poważnych, dostępnych w internecie luk w zabezpieczeniach, które stanowiły godną uwagi okazję do wykorzystania przez grupy ransomware" - mówi Anthony Galiette, Senior, inżynier wsteczny z Unit 42. "Uważamy, że te krytyczne luki przyczyniły się do wzrostu aktywności Medusy w ostatnich miesiącach.

Grupa Medusa nie ma kodeksu etycznego

Może być jeszcze jeden powód zwiększonej aktywności Medusy. "Medusa odniosła ostatnio duży sukces, a jest to grupa, która koncentruje się w szczególności na sektorze opieki zdrowotnej" - zauważa Darren Williams, dyrektor generalny i założyciel BlackFog, firmy zajmującej się bezpieczeństwem punktów końcowych. "Może to być czynnik przyczyniający się do ich sukcesu, ponieważ sektor opieki zdrowotnej jest zarówno bogaty w dane, jak i ubogi pod względem praktyk cyberbezpieczeństwa i inwestycji w starszy sprzęt i oprogramowanie".

Doel Santos, główny badacz zagrożeń w Unit 42, zwraca uwagę na pewne charakterystyczne aspekty gangu Medusa. "Podczas gdy możliwości techniczne różnią się w zależności od grupy ransomware, Medusa jest jedną z niewielu, które zaobserwowaliśmy przy użyciu narzędzi takich jak NetScan do tworzenia i wdrażania oprogramowania ransomware".

Dodał, że grupa nie ma kodeksu etycznego. "W 2023 roku widzieliśmy, jak grupa naraziła na szwank wiele okręgów szkolnych i opublikowała bardzo wrażliwe informacje o uczniach" - mówi Santos.

Medusa korzysta z brokerów dostępu początkowego w celu uzyskania dostępu do sieci

Inne różnice obejmują posiadanie przez Medusę własnego zespołu ds. mediów i brandingu, koncentrowanie się na wykorzystywaniu luk w zabezpieczeniach w internecie oraz korzystanie z brokerów wstępnego dostępu (IAB) w celu uzyskania dostępu do systemów. "Brokerzy wstępnego dostępu zapewniają podmiotom stanowiącym zagrożenie dostęp do drzwi wejściowych organizacji" - wyjaśnia Galiette. "Chociaż wiąże się to z kosztami, wykorzystanie tych grup okazało się bardzo lukratywne w przeszłości".

"Ogólnie rzecz biorąc", dodaje Galiette, "widzimy, że bardziej aktywne lub zaawansowane grupy ransomware wykorzystują brokerów wstępnego dostępu. Mniejsze lub powstające grupy ransomware niekoniecznie mają kapitał, aby wykorzystać IAB w ten sam sposób".

Grupa zajmuje się również podwójnymi okupami. "Wykorzystanie podwójnego okupu jest godne uwagi w przypadku Medusy, gdzie wykorzystują jeden okup do odszyfrowania zaszyfrowanych części środowiska i oddzielne żądanie wymuszenia, aby zapobiec wyciekowi skradzionych danych od swoich ofiar do internetu" - mówi Steve Stone, szef Rubrik Zero Labs, jednostki badawczej ds. cyberbezpieczeństwa Rubrik, globalnej firmy zajmującej się bezpieczeństwem danych i oprogramowaniem do tworzenia kopii zapasowych.

Nieprzemyślane ataki - uniwersalne zagrożenie ze strony ransomware

Pojawienie się oprogramowania ransomware Medusa pod koniec 2022 r. i jego rozgłos w 2023 r. oznacza znaczący rozwój w krajobrazie ransomware, zauważono w raporcie Unit 42. Operacja ta pokazuje złożone metody rozprzestrzeniania się, wykorzystuje zarówno luki w zabezpieczeniach systemu, jak i brokerów początkowego dostępu, jednocześnie umiejętnie unikając wykrycia dzięki technikom "living-off-the-land".

Blog Medusa oznacza taktyczną ewolucję w kierunku wielokrotnego wymuszania okupu, przy czym grupa stosuje przejrzystą taktykę nacisku na ofiary poprzez żądania okupu publikowane online. Z 74 organizacjami w różnych branżach, które do tej pory ucierpiały, masowe ataki Medusy podkreślają uniwersalne zagrożenie stwarzane przez takie podmioty ransomware.

"Jak widać ze statystyk, problem nie tylko rośnie, ale przyspiesza w tempie, za którym organizacje nie mogą nadążyć" - dodaje Williams. "Musimy również zdać sobie sprawę, że rewolucja AI odgrywa pewną rolę w tym trendzie, ponieważ obecnie obserwujemy, jak aktorzy zagrożeń szkolą swoje systemy w zakresie luk w zabezpieczeniach, produktów i ludzi. Chociaż firmy zajmujące się cyberbezpieczeństwem również wykorzystują sztuczną inteligencję do zapobiegania, jest to obecnie gra w kotka i myszkę, a organizacje nie wdrażają tych nowych technologii wystarczająco szybko lub wcale, aby zapewnić odpowiednią ochronę".

John Mello pisze na temat technologii i cyberbezpieczeństwa i jest byłym redaktorem zarządzającym Boston Business Journal i Boston Phoenix. Pisze również dla witryny marketingowej TechBeacon firmy Hewlett-Packard.

Artykuł pochodzi z CSOonline