Программа-вымогатель Medusa, работающая по модели RaaS (Ransomware as a Service), представляет серьезную угрозу для организаций, работающих в критически важных секторах. С момента своего появления в июне 2021 года и до февраля 2025 года эта программа нацелена на более чем 300 жертв, шифруя данные и угрожая обнародовать украденную информацию при отказе от выплаты выкупа.
Механизм работы Medusa
Medusa функционирует по модели двойного вымогательства, что означает комбинирование шифрования данных с угрозами разблокировки украденной информации. Уникальность этого вымогателя заключается в использовании модели найма, в которой задействованы брокеры начального доступа, эксплуатирующие уязвимости в непатченных приложениях для получения доступа к системам жертв.
Методы атаки
- Фишинговые кампании для кражи учетных данных;
- Использование легальных инструментов для разведки, таких как Advanced IP Scanner и SoftPerfect Network Scanner;
- Подсчет сетей с помощью PowerShell и командной строки Windows;
- Использование Certutil для доступа к файлам и методов автономной работы для управления деятельностью.
Этап шифрования
Шифровальщик, известный как gaze.exe, шифрует файлы с использованием алгоритма AES-256 и присваивает файлам расширение .medusa. В процессе шифрования этот инструмент отключает ключевые службы, связанные с резервным копированием, и удаляет точки восстановления системы, что значительно затрудняет восстановление данных для жертв.
Уклонение от обнаружения
Злоумышленники Medusa активно отключают средства обнаружения конечных точек (EDR) и используют программы удаленного доступа, такие как AnyDesk и ConnectWise, для облегчения перемещения внутри скомпрометированной сети. Адаптивная способность изменять тактику в зависимости от инструментов, доступных жертве, позволяет им избегать обнаружения.
Сбор учетных данных
Дополнительно, медуза использует инструменты для сбора учетных данных, такие как Mimikatz, что способствует горизонтальному перемещению по сети.
Тактика давления на жертвы
Жертвы получают требования о выплате выкупа через сети Tor или зашифрованные мессенджеры. Существование сайта утечки данных в сети .onion создает дополнительное давление, публикуя имена и данные жертв, а также таймеры обратного отсчета, подчеркивающие срочность выполнения требований.
Рекомендации по противодействию
Рекомендации по снижению риска, связанного с угрозами, подобными Medusa, включают:
- Поддержание актуальности программного обеспечения;
- Использование многофакторной аутентификации;
- Сегментацию сетей;
- Надежные решения для резервного копирования;
- Регулярные проверки средств контроля доступа и мониторинга аномальной активности.
Регулярная реализация этих мероприятий является ключевым шагом к защите от Medusa и аналогичных программ-вымогателей.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Medusa: Угрозы и стратегии защиты от программ-вымогателей".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.