Търсене
Close this search box.

Medusa се разраства

Престъпниците, свързани с рансъмуера Medusa, са увеличили активността си след дебюта на специален сайт за изтичане на данни в тъмната мрежа през февруари 2023 г., за да публикуват чувствителни данни на жертви, които не желаят да се съгласят с исканията им.

„Като част от стратегията си за многократно изнудване тази група ще предостави на жертвите множество възможности, когато техните данни бъдат публикувани на сайта им за изтичане на информация, като например удължаване на срока, изтриване на данните или изтегляне на всички данни“, казват изследователите от Palo Alto Networks Unit 42 Антъни Галиет и Доел Сантос в доклад, споделен с The Hacker News.

„Всички тези варианти имат цена в зависимост от организацията, засегната от тази група“.

Medusa Ransomware

Medusa (да не се бърка с Medusa Locker) се отнася до семейство ransomware, което се появява в края на 2022 г., преди да стане известно през 2023 г. То е известно с това, че опортюнистично се насочва към широк спектър от индустрии като високи технологии, образование, производство, здравеопазване и търговия на дребно.

Смята се, че през 2023 г. от рансъмуера са били засегнати цели 74 организации, предимно в САЩ, Великобритания, Франция, Италия, Испания и Индия.

Атаките с рансъмуер, организирани от групата, започват с експлоатиране на активи или приложения, насочени към интернет, с известни непоправени уязвимости и превземане на легитимни акаунти, като често се използват брокери за първоначален достъп, за да се получи опора в целевите мрежи.

В един от случаите, наблюдавани от фирмата за киберсигурност, е използван сървър на Microsoft Exchange, за да се качи уеб обвивка, която след това е използвана като канал за инсталиране и изпълнение на софтуера за отдалечено наблюдение и управление (RMM) ConnectWise.

Забележителен аспект на инфекциите е разчитането на техниките на „живеене извън земята“ (LotL), за да се смесят с легитимна дейност и да избегнат откриване. Наблюдава се и използването на двойка драйвери за ядрото за прекратяване на твърдо кодиран списък с продукти за сигурност.

Първоначалната фаза на достъп е последвана от откриване и разузнаване на компрометираната мрежа, като накрая извършителите стартират ransomware, за да изброят и криптират всички файлове, с изключение на тези с разширения .dll, .exe, .lnk и .medusa (разширението, дадено на криптираните файлове).

За всяка компрометирана жертва сайтът за изтичане на информация Medusa показва информация за организациите, искания откуп, оставащото време до публичното оповестяване на откраднатите данни и броя на прегледите в опит да се окаже натиск върху компанията.

Medusa Ransomware

 

Бандитите също така предлагат различни варианти на жертвата, като всички те включват някаква форма на изнудване за изтриване или изтегляне на откраднатите данни и искане за удължаване на срока, за да се предотврати публикуването на данните.

Тъй като рансъмуерът продължава да бъде широко разпространена заплаха, насочена към технологични компании, здравеопазване, критична инфраструктура и всичко останало, стоящите зад него заплахи стават все по-нагли в тактиката си, като надхвърлят публичното назоваване и опозоряване на организациите, прибягвайки до заплахи за физическо насилие и дори до специални канали за връзки с обществеността.

„Рансъмуерът промени много аспекти на пейзажа на заплахите, но ключовото развитие напоследък е все по-голямата му комерсиализация и професионализация“, заявиха изследователи на Sophos миналия месец, наричайки бандите за рансъмуер „все по-умели в медиите“.

Medusa, по данни на Unit 42, не само разполага с медиен екип, който вероятно се занимава с усилията им за брандиране, но и използва публичен канал в Telegram, наречен „информационна поддръжка“, където се споделят файлове на компрометирани организации и може да се получи достъп до тях през клиринговата мрежа. Каналът е създаден през юли 2021 г.

„Появата на рансъмуера Medusa в края на 2022 г. и неговата известност през 2023 г. бележи значително развитие в пейзажа на рансъмуера“, казват изследователите. „Тази операция демонстрира сложни методи на разпространение, използвайки както системни уязвимости, така и брокери за първоначален достъп, като в същото време умело избягва откриване чрез техники за живеене на земята.“

Разработката идва в момент, когато Arctic Wolf Labs оповести два случая, в които жертви на бандите за рансъмуер Akira и Royal са били насочени от злонамерени трети лица, представящи се за изследователи в областта на сигурността, за вторични опити за изнудване.

„Хакерите разказват, че се опитват да помогнат на организациите на жертвите, като предлагат да хакнат сървърната инфраструктура на първоначално участващите групи за откуп, за да изтрият ексфилтрираните данни“, казват изследователите по сигурността Стефан Хостетлер и Стивън Кембъл, като отбелязват, че хакерът е искал около 5 биткойна в замяна на услугата.

Това следва и нова консултация от финландския Национален център за киберсигурност (NCSC-FI) за рязко увеличаване на случаите на рансъмуер Akira в страната към края на 2023 г. чрез използване на недостатък в сигурността на VPN устройствата на Cisco (CVE-2023-20269, CVSS оценка: 5,0) за пробив в местни структури.

 

Източник: The Hacker News

Подобни публикации

18 април 2024

Вариант на LockBit 3.0 генерира персонализиран,...

Изследователите на Kaspersky са открили новия вариант, след като са...
18 април 2024

Групата "Sandworm" е основното звено за киберат...

Но дори и да се е фокусирала върху това, сложната група за заплахи ...
18 април 2024

Apple предупреждава потребителите в 150 държави...

В ново уведомление за заплахи Apple посочва доставчика на Pegasus N...
17 април 2024

Приложението Copilot на Windows Server е добаве...

Microsoft твърди, че новото приложение Copilot, погрешно добавено в...
17 април 2024

Последни тенденции при зловредния софтуер

В днешната дигитална ера киберсигурността се превърна в постоянна г...
17 април 2024

FTC налага глоби на стартъпа за психично здраве...

Федералната търговска комисия на САЩ (FTC) разпореди на компанията ...
17 април 2024

BMC на Intel и Lenovo съдържат непоправен недос...

Нови открития на Binarly показват, че пропуск в сигурността, засяга...
Бъдете социални
Още по темата
18/04/2024

Вариант на LockBit 3.0 гене...

Изследователите на Kaspersky са открили новия...
16/04/2024

UnitedHealth Group отчете 8...

UnitedHealth Group отчете 872 млн. щатски...
11/04/2024

10 млн. долара рекет за Hoy...

Неотдавнашната кибератака срещу Hoya Corporation, за...
Последно добавени
18/04/2024

Вариант на LockBit 3.0 гене...

Изследователите на Kaspersky са открили новия...
18/04/2024

Групата "Sandworm" е основн...

Но дори и да се е...
18/04/2024

Apple предупреждава потреби...

В ново уведомление за заплахи Apple...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!