Престъпниците, свързани с рансъмуера Medusa, са увеличили активността си след дебюта на специален сайт за изтичане на данни в тъмната мрежа през февруари 2023 г., за да публикуват чувствителни данни на жертви, които не желаят да се съгласят с исканията им.
„Като част от стратегията си за многократно изнудване тази група ще предостави на жертвите множество възможности, когато техните данни бъдат публикувани на сайта им за изтичане на информация, като например удължаване на срока, изтриване на данните или изтегляне на всички данни“, казват изследователите от Palo Alto Networks Unit 42 Антъни Галиет и Доел Сантос в доклад, споделен с The Hacker News.
„Всички тези варианти имат цена в зависимост от организацията, засегната от тази група“.
Medusa (да не се бърка с Medusa Locker) се отнася до семейство ransomware, което се появява в края на 2022 г., преди да стане известно през 2023 г. То е известно с това, че опортюнистично се насочва към широк спектър от индустрии като високи технологии, образование, производство, здравеопазване и търговия на дребно.
Смята се, че през 2023 г. от рансъмуера са били засегнати цели 74 организации, предимно в САЩ, Великобритания, Франция, Италия, Испания и Индия.
Атаките с рансъмуер, организирани от групата, започват с експлоатиране на активи или приложения, насочени към интернет, с известни непоправени уязвимости и превземане на легитимни акаунти, като често се използват брокери за първоначален достъп, за да се получи опора в целевите мрежи.
В един от случаите, наблюдавани от фирмата за киберсигурност, е използван сървър на Microsoft Exchange, за да се качи уеб обвивка, която след това е използвана като канал за инсталиране и изпълнение на софтуера за отдалечено наблюдение и управление (RMM) ConnectWise.
Забележителен аспект на инфекциите е разчитането на техниките на „живеене извън земята“ (LotL), за да се смесят с легитимна дейност и да избегнат откриване. Наблюдава се и използването на двойка драйвери за ядрото за прекратяване на твърдо кодиран списък с продукти за сигурност.
Първоначалната фаза на достъп е последвана от откриване и разузнаване на компрометираната мрежа, като накрая извършителите стартират ransomware, за да изброят и криптират всички файлове, с изключение на тези с разширения .dll, .exe, .lnk и .medusa (разширението, дадено на криптираните файлове).
За всяка компрометирана жертва сайтът за изтичане на информация Medusa показва информация за организациите, искания откуп, оставащото време до публичното оповестяване на откраднатите данни и броя на прегледите в опит да се окаже натиск върху компанията.
Бандитите също така предлагат различни варианти на жертвата, като всички те включват някаква форма на изнудване за изтриване или изтегляне на откраднатите данни и искане за удължаване на срока, за да се предотврати публикуването на данните.
Тъй като рансъмуерът продължава да бъде широко разпространена заплаха, насочена към технологични компании, здравеопазване, критична инфраструктура и всичко останало, стоящите зад него заплахи стават все по-нагли в тактиката си, като надхвърлят публичното назоваване и опозоряване на организациите, прибягвайки до заплахи за физическо насилие и дори до специални канали за връзки с обществеността.
„Рансъмуерът промени много аспекти на пейзажа на заплахите, но ключовото развитие напоследък е все по-голямата му комерсиализация и професионализация“, заявиха изследователи на Sophos миналия месец, наричайки бандите за рансъмуер „все по-умели в медиите“.
Medusa, по данни на Unit 42, не само разполага с медиен екип, който вероятно се занимава с усилията им за брандиране, но и използва публичен канал в Telegram, наречен „информационна поддръжка“, където се споделят файлове на компрометирани организации и може да се получи достъп до тях през клиринговата мрежа. Каналът е създаден през юли 2021 г.
„Появата на рансъмуера Medusa в края на 2022 г. и неговата известност през 2023 г. бележи значително развитие в пейзажа на рансъмуера“, казват изследователите. „Тази операция демонстрира сложни методи на разпространение, използвайки както системни уязвимости, така и брокери за първоначален достъп, като в същото време умело избягва откриване чрез техники за живеене на земята.“
Разработката идва в момент, когато Arctic Wolf Labs оповести два случая, в които жертви на бандите за рансъмуер Akira и Royal са били насочени от злонамерени трети лица, представящи се за изследователи в областта на сигурността, за вторични опити за изнудване.
„Хакерите разказват, че се опитват да помогнат на организациите на жертвите, като предлагат да хакнат сървърната инфраструктура на първоначално участващите групи за откуп, за да изтрият ексфилтрираните данни“, казват изследователите по сигурността Стефан Хостетлер и Стивън Кембъл, като отбелязват, че хакерът е искал около 5 биткойна в замяна на услугата.
Това следва и нова консултация от финландския Национален център за киберсигурност (NCSC-FI) за рязко увеличаване на случаите на рансъмуер Akira в страната към края на 2023 г. чрез използване на недостатък в сигурността на VPN устройствата на Cisco (CVE-2023-20269, CVSS оценка: 5,0) за пробив в местни структури.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.