Атаките на Medusa ransomware все по-често се превръщат в основен инструмент на групата за заплахи, известна като „Spearwing“, която е събрала стотици жертви от 2023 г. насам; близо 400 от тях са посочени на нейния сайт за изтичане на информация.
Исканията за откуп при използване на рансъмуер Medusa варират от 100 000 долара до внушителните 15 милиона долара, според екипа на Symantec за лов на заплахи.
Изследователите на Symantec смятат, че Spearwing се възползва от широко отворената празнина в пространството на рансъмуер със залеза на групи като Noberus и LockBit, като се стреми да се прочуе с непрекъснато нарастващата си активност.
Spearwing и неговите филиали действат както много оператори на рансъмуер: извършват двойни изнудвачески атаки и крадат данни, преди да криптират мрежите, за да увеличат натиска върху жертвата за плащане на откуп.
Групата получава достъп до мрежите на своите жертви, като използва непоправени уязвимости в публични приложения, най-вече в сървърите Microsoft Exchange. След като получат достъп до мрежата на жертвата, нападателите обикновено използват софтуер за отдалечено управление и наблюдение, за да изтеглят редица инструменти за странично придвижване, включително AnyDesk, KillAVDriver, KillAV, Mesh Agent, Navicat, NetScan, PDQ Deploy, PDQ Inventory, SimpleHelp, Rclone и Robocopy.
След като разширението .medusa бъде добавено към криптираните файлове, на криптираната машина се пуска бележка за откуп на име „!READ_ME_MEDUSA!!!.txt“. Исканията за откуп от Spearwing варират в зависимост от жертвата, на която обикновено се дават 10 дни да плати, като при удължаване на срока към общата сума се добавят още 10 000 долара на ден. Ако откупът не бъде платен, откраднатите данни се публикуват на сайта на групата за изтичане на информация.
Изследователите имат някои въпроси относно операциите на Spearwing.
„Последователността на TTPs, използвани в атаките на Medusa, повдига въпроса дали Spearwing наистина работи като RaaS“, отбелязват изследователите. Последователността в използваните тактики може да показва няколко неща, като например, че групата извършва атаките и сама разработва софтуера за откуп или че бандата просто работи с малък брой филиали. Възможно е също така Spearwing да предоставя на филиалите софтуерa, както и наръчник за това как се извършват атаките и каква верига за атаки да се използва, казват изследователите.
Всяка от тези теории може да бъде правдоподобна, но едно нещо, което остава сигурно, е, че групата „не е задължително да работи като „типична“ RaaS с много филиали, които могат да използват различни TTP“, заключават те.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
