Найти в Дзене
CISOCLUB
11,4 тыс подписчиков

Medusa Locker: эволюция RaaS, TOR v3 и глобальные последствия

3 мин
Программа-вымогатель Medusa Locker активна с 2019 года и в последнее время претерпела значительные изменения. Новые технические детали и операционные особенности указывают на рост масштабов атак и усложнение задач по их пресечению и расследованию. «Medusa Locker характеризуется постоянной связью с российским хостингом, преимущественно с использованием Dark Web, и работает по модели RaaS, что увеличивает число жертв в разных секторах». Medusa Locker — это программа-вымогатель, действующая по модели RaaS (Ransomware-as-a-Service). Группа, стоящая за ней, предоставляет возможности для проведения атак другим злоумышленникам, что расширяет охват и разнообразие пострадавших организаций. Анализ выявил, что схема именования и отличия между вариантами затрудняют отслеживание и корреляцию инцидентов. Важно отличать Medusa Locker от несвязанного варианта Medusa Ransomware: ошибочная идентификация разных сущностей может сорвать защитные меры и затруднить атрибуцию инцидентов. Особое внимание вызыв
Оглавление

Программа-вымогатель Medusa Locker активна с 2019 года и в последнее время претерпела значительные изменения. Новые технические детали и операционные особенности указывают на рост масштабов атак и усложнение задач по их пресечению и расследованию.

«Medusa Locker характеризуется постоянной связью с российским хостингом, преимущественно с использованием Dark Web, и работает по модели RaaS, что увеличивает число жертв в разных секторах».

Что это за угроза

Medusa Locker — это программа-вымогатель, действующая по модели RaaS (Ransomware-as-a-Service). Группа, стоящая за ней, предоставляет возможности для проведения атак другим злоумышленникам, что расширяет охват и разнообразие пострадавших организаций.

Ключевые технические характеристики

  • Постоянная коммуникация с инфраструктурой на российском хостинге, активность в Dark Web.
  • Две идентифицируемые фазы работы — до и после внедрения TOR v3 в операционной цепочке.
  • Наличие каналов связи с жертвами: целевые адреса эл. почты и идентификаторы чатов TOX, используемые для переговоров о выкупе.
  • Выявлены варианты, обозначенные как BabylockerKZ, связанные с mutex-идентификатором HOHOL1488.

Варианты и проблемы с атрибуцией

Анализ выявил, что схема именования и отличия между вариантами затрудняют отслеживание и корреляцию инцидентов. Важно отличать Medusa Locker от несвязанного варианта Medusa Ransomware: ошибочная идентификация разных сущностей может сорвать защитные меры и затруднить атрибуцию инцидентов.

География и масштабы воздействия

  • Зафиксированы заражения в 10 странах.
  • Пострадавшие организации представляют не менее 13 отраслей промышленности, что свидетельствует о широком целевом фокусе группы.

Инцидент с уязвимостью платформы продажи билетов

Особое внимание вызывает уязвимость, обнаруженная в платформе продажи билетов, связанной с операторами Medusa Locker. Эксплуатация этой уязвимости потенциально позволяет провести дальнейший анализ инфраструктуры злоумышленников и ускорить расследование — при условии корректного и скоординированного реагирования со стороны исследователей и правоохранительных органов.

Выплаты выкупа и операционная эффективность

Данные о выплатах выкупа указывают на устойчивую операционную эффективность группы. Стабильные поступления от жертв помогают поддерживать инфраструктуру и мотивируют дальнейшее развитие инструментов и тактик.

Рекомендации для защиты и расследования

  • Постоянно обновлять базы IOC и сопоставлять их с актуальными индикаторами, включая mutex-идентификаторы (например, HOHOL1488) и обозначения вариантов (BabylockerKZ).
  • Отличать Medusa Locker от других, внешне похожих семейств, таких как Medusa Ransomware, чтобы избежать ошибок при реагировании.
  • Контролировать и анализировать коммуникационные каналы (TOR v3, TOX, целевые e-mail), использовать данные переговоров для атрибуции и цепочки компрометации.
  • Исследовать уязвимости публичных сервисов, связанных с группой (например, платформа продажи билетов) в тесном взаимодействии с правоохранительными органами.
  • Усилить сегментацию сети и резервное копирование критичных систем для уменьшения потенциального ущерба в случае шифрования данных.

Выводы

Medusa Locker остаётся эволюционирующей и активной угрозой с широким охватом и устойчивой операционной моделью. Модель RaaS увеличивает число злоумышленников, имеющих доступ к инструментам группы, а внедрение каналов связи через TOR v3 и TOX повышает сложность расследований. Постоянное отслеживание технических характеристик, корректная атрибуция и скоординированное реагирование — ключевые элементы для снижения риска и минимизации последствий атак.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Medusa Locker: эволюция RaaS, TOR v3 и глобальные последствия".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.