CISA твърди, че до миналия месец рансъмуерът Medusa е засегнал над 300 организации в секторите на критичната инфраструктура в САЩ.

Това бе разкрито в съвместна консултация, издадена днес в координация с Федералното бюро за разследване (ФБР) и Многодържавния център за обмен на информация и анализ (MS-ISAC).

„Към февруари 2025 г. разработчиците и свързаните с тях лица на Medusa са засегнали над 300 жертви от различни сектори на критичната инфраструктура, като засегнатите отрасли включват медицина, образование, право, застраховане, технологии и производство“, предупредиха CISA, ФБР и MS-ISAC в сряда.

„ФБР, CISA и MS-ISAC насърчават организациите да изпълнят препоръките в раздела „Смекчаване на последиците“ на тази консултация, за да намалят вероятността и въздействието на инцидентите с рансъмуер Medusa.“

Както е обяснено в консултацията, за да се защитят от атаки на Medusa ransomware, защитниците се съветват да предприемат следните мерки:

• Смекчаване на известните уязвимости в сигурността, за да се гарантира, че операционните системи, софтуерът и фърмуерът са поправени в разумни срокове,
• Сегментирайте мрежите, за да ограничите страничното движение между заразените устройства и други устройства в рамките на организацията, и
• Филтрирайте мрежовия трафик, като блокирате достъпа от непознат или ненадежден произход до отдалечени услуги на вътрешните системи.

Софтуерът Medusa ransomware се появява преди почти четири години, през януари 2021 г., но дейността на бандата се активизира едва две години по-късно, през 2023 г., когато тя стартира сайта за изтичане на информация Medusa Blog, за да окаже натиск върху жертвите да плащат откупи, използвайки откраднатите данни като лост.

Откакто се е появила, бандата е взела над 400 жертви по целия свят и привлича вниманието на медиите през март 2023 г., след като поема отговорност за атака срещу района на обществените училища в Минеаполис (MPS) и споделя видеоклип с откраднатите данни.

През ноември 2023 г. групировката също така публикува в своя тъмен портал за изнудване файлове, за които се твърди, че са откраднати от Toyota Financial Services, дъщерно дружество на Toyota Motor Corporation, след като компанията отказва да плати искания откуп от 8 млн. долара и уведомява клиентите си за нарушение на сигурността на данните.

Medusa е представен за първи път като затворен вариант на рансъмуер, при който една група хакери се е занимавала с всички разработки и операции. Въпреки че оттогава Medusa се превърна в операция „Ransomware-as-a-service“ (RaaS) и възприе партньорски модел, нейните разработчици продължават да наблюдават основните операции, включително преговорите за откуп.

„Разработчиците на Medusa обикновено набират брокери за първоначален достъп (initial access brokers – IABs) в киберпрестъпни форуми и пазари, за да получат първоначален достъп до потенциални жертви“, добавят те. „На тези филиали се предлагат потенциални плащания между 100 USD и 1 млн. долара с възможност да работят изключително за Medusa.“

Важно е също така да се отбележи, че множество семейства зловреден софтуер и киберпрестъпни операции се наричат Medusa, включително ботнет, базиран на Mirai, с възможности за рансъмуер, и операция за зловреден софтуер като услуга (MaaS) за Android, открита през 2020 г. (известна също като TangleBot).

Поради това често използвано име е имало и някои объркващи съобщения за рансъмуер Medusa, като мнозина са смятали, че той е същият като широко известната операция за рансъмуер MedusaLocker, въпреки че те са напълно различни операции.

Миналия месец CISA и ФБР издадоха още едно съвместно предупреждение, в което предупреждават, че жертви от множество индустриални сектори в над 70 държави, включително критична инфраструктура, са били пробити при атаката на Ghost ransomware