Търсене
Close this search box.

Престъпниците, свързани с рансъмуера Medusa, са увеличили активността си след дебюта на специален сайт за изтичане на данни в тъмната мрежа през февруари 2023 г., за да публикуват чувствителни данни на жертви, които не желаят да се съгласят с исканията им.

„Като част от стратегията си за многократно изнудване тази група ще предостави на жертвите множество възможности, когато техните данни бъдат публикувани на сайта им за изтичане на информация, като например удължаване на срока, изтриване на данните или изтегляне на всички данни“, казват изследователите от Palo Alto Networks Unit 42 Антъни Галиет и Доел Сантос в доклад, споделен с The Hacker News.

„Всички тези варианти имат цена в зависимост от организацията, засегната от тази група“.

Medusa Ransomware

Medusa (да не се бърка с Medusa Locker) се отнася до семейство ransomware, което се появява в края на 2022 г., преди да стане известно през 2023 г. То е известно с това, че опортюнистично се насочва към широк спектър от индустрии като високи технологии, образование, производство, здравеопазване и търговия на дребно.

Смята се, че през 2023 г. от рансъмуера са били засегнати цели 74 организации, предимно в САЩ, Великобритания, Франция, Италия, Испания и Индия.

Атаките с рансъмуер, организирани от групата, започват с експлоатиране на активи или приложения, насочени към интернет, с известни непоправени уязвимости и превземане на легитимни акаунти, като често се използват брокери за първоначален достъп, за да се получи опора в целевите мрежи.

В един от случаите, наблюдавани от фирмата за киберсигурност, е използван сървър на Microsoft Exchange, за да се качи уеб обвивка, която след това е използвана като канал за инсталиране и изпълнение на софтуера за отдалечено наблюдение и управление (RMM) ConnectWise.

Забележителен аспект на инфекциите е разчитането на техниките на „живеене извън земята“ (LotL), за да се смесят с легитимна дейност и да избегнат откриване. Наблюдава се и използването на двойка драйвери за ядрото за прекратяване на твърдо кодиран списък с продукти за сигурност.

Първоначалната фаза на достъп е последвана от откриване и разузнаване на компрометираната мрежа, като накрая извършителите стартират ransomware, за да изброят и криптират всички файлове, с изключение на тези с разширения .dll, .exe, .lnk и .medusa (разширението, дадено на криптираните файлове).

За всяка компрометирана жертва сайтът за изтичане на информация Medusa показва информация за организациите, искания откуп, оставащото време до публичното оповестяване на откраднатите данни и броя на прегледите в опит да се окаже натиск върху компанията.

Medusa Ransomware

 

Бандитите също така предлагат различни варианти на жертвата, като всички те включват някаква форма на изнудване за изтриване или изтегляне на откраднатите данни и искане за удължаване на срока, за да се предотврати публикуването на данните.

Тъй като рансъмуерът продължава да бъде широко разпространена заплаха, насочена към технологични компании, здравеопазване, критична инфраструктура и всичко останало, стоящите зад него заплахи стават все по-нагли в тактиката си, като надхвърлят публичното назоваване и опозоряване на организациите, прибягвайки до заплахи за физическо насилие и дори до специални канали за връзки с обществеността.

„Рансъмуерът промени много аспекти на пейзажа на заплахите, но ключовото развитие напоследък е все по-голямата му комерсиализация и професионализация“, заявиха изследователи на Sophos миналия месец, наричайки бандите за рансъмуер „все по-умели в медиите“.

Medusa, по данни на Unit 42, не само разполага с медиен екип, който вероятно се занимава с усилията им за брандиране, но и използва публичен канал в Telegram, наречен „информационна поддръжка“, където се споделят файлове на компрометирани организации и може да се получи достъп до тях през клиринговата мрежа. Каналът е създаден през юли 2021 г.

„Появата на рансъмуера Medusa в края на 2022 г. и неговата известност през 2023 г. бележи значително развитие в пейзажа на рансъмуера“, казват изследователите. „Тази операция демонстрира сложни методи на разпространение, използвайки както системни уязвимости, така и брокери за първоначален достъп, като в същото време умело избягва откриване чрез техники за живеене на земята.“

Разработката идва в момент, когато Arctic Wolf Labs оповести два случая, в които жертви на бандите за рансъмуер Akira и Royal са били насочени от злонамерени трети лица, представящи се за изследователи в областта на сигурността, за вторични опити за изнудване.

„Хакерите разказват, че се опитват да помогнат на организациите на жертвите, като предлагат да хакнат сървърната инфраструктура на първоначално участващите групи за откуп, за да изтрият ексфилтрираните данни“, казват изследователите по сигурността Стефан Хостетлер и Стивън Кембъл, като отбелязват, че хакерът е искал около 5 биткойна в замяна на услугата.

Това следва и нова консултация от финландския Национален център за киберсигурност (NCSC-FI) за рязко увеличаване на случаите на рансъмуер Akira в страната към края на 2023 г. чрез използване на недостатък в сигурността на VPN устройствата на Cisco (CVE-2023-20269, CVSS оценка: 5,0) за пробив в местни структури.

 

Източник: The Hacker News

Подобни публикации

7 ноември 2024

Nokia: Hяма доказателства, че хакери са проникн...

Както писахме още в неделя, Nokia разследва предполагаема кибератак...
7 ноември 2024

Ботнетът за Android "ToxicPanda" поразява банки...

Изследователите определиха нов ботнет на сцената, за който първонач...
7 ноември 2024

Бандите все по-често използват комплектът Winos...

Хакерите все по-често се насочват към потребителите на Windows със ...
7 ноември 2024

Notepad ще получи инструмент за пренаписване, з...

Microsoft започна да тества инструменти за пренаписване на текст в ...
7 ноември 2024

Бъг в Cisco позволява да се изпълняват команди ...

Cisco е отстранила уязвимост с максимална степен на сериозност, коя...
7 ноември 2024

SteelFox превзема компютри с Windows, използвай...

Нов зловреден пакет, наречен „SteelFox“, добива криптовалута и крад...
6 ноември 2024

Системите на съдилищата в щата Вашингтон са офл...

Съдебните системи в щата Вашингтон не функционират от неделя, когат...
6 ноември 2024

Германия готви закон за защита на белите хакери

Федералното министерство на правосъдието в Германия е изготвило зак...
6 ноември 2024

В деня на изборите дезинформацията тревожи най-...

Докато гласуването на президентските избори в САЩ през 2024 г. прик...
Бъдете социални
Още по темата
05/11/2024

Интерпол прекъсва киберпрес...

Интерпол обяви, че е арестувал 41...
31/10/2024

Уязвимостите на CyberPanel ...

Заплахите започнаха да използват уязвимостите, открити...
27/10/2024

Ransomware банди ползват So...

Операторите на рансъмуер Fog и Akira...
Последно добавени
07/11/2024

Nokia: Hяма доказателства, ...

Както писахме още в неделя, Nokia...
07/11/2024

Ботнетът за Android "ToxicP...

Изследователите определиха нов ботнет на сцената,...
07/11/2024

Бандите все по-често използ...

Хакерите все по-често се насочват към...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!