Группа Medusa: новая волна атак на критическую инфраструктуру в 2024–2025 годах

С конца 2021 года группа программ-вымогателей Medusa и ее филиалы осуществили более 430 киберинцидентов по всему миру, при этом основные цели атак — критически важная национальная инфраструктура, а также секторы образования, юридических услуг, страхования и производства. В начале 2025 года активность группы остается на высоком уровне — было зафиксировано свыше 70 нападений.

Стратегия и тактика атак Medusa

Medusa функционирует по модели Ransomware-as-a-Service (RaaS), предоставляя свои программы-вымогатели партнёрам, что обеспечивает масштабируемость и быстрое распространение атак. Для достижения своих целей злоумышленники применяют комплекс многоуровневых методов вымогательства, которые включают:

• массовое шифрование файлов;
• эксфильтрацию и утечку данных;
• выдвижение требований о выкупе с угрозой публичного раскрытия конфиденциальной информации.

Методы первоначального доступа

Для проникновения в сети жертв Medusa применяет следующие подходы:

• Фишинговые кампании — рассылка писем с вредоносными вложениями или ссылками, ведущими к краже учетных данных;
• сотрудничество с Initial Access Brokers (IAB) для приобретения начального доступа;
• эксплуатация распространённых уязвимостей, таких как:
• CVE-2024-1709 — уязвимость в приложении ScreenConnect;
• CVE-2023-48788 — уязвимость в Fortinet;
• использование скомпрометированных учетных данных для протокола RDP, получаемых через фишинг или купленных на торговых площадках.

Тактики обнаружения и перемещения внутри сети

После проникновения злоумышленники запускают этапы разведки и латерального перемещения, преимущественно с помощью легитимных инструментов, что усложняет обнаружение атаки:

• сканеры сети: SoftPerfect Network Scanner и Advanced IP Scanner;
• инструменты Windows для перемещения и выполнения команд: PsExec и Mstsc. PsExec используется для дистанционного запуска вредоносных скриптов, облегчая дальнейшее распространение по RDP;
• использование легитимных утилит позволяет минимизировать подозрения и обходить средства обнаружения.

Шифрование и эксфильтрация данных

Для управления операциями с данными Medusa задействует специализированные инструменты:

• RClone — для передачи и синхронизации данных в облачные сервисы, преимущественно через сервис put .io;
• пользовательская нагрузка — gaze.exe — применяет шифрование по стандарту AES-256, при этом:
• отключаются критически важные службы;
• удаляются теневые копии томов, исключая возможность восстановления данных.

Зашифрованные файлы получают расширение .medusa. В уведомлениях о выкупе подробно описывается процесс шифрования и указываются каналы связи для оплаты.

Методы обхода средств защиты

Для снижения риска обнаружения Medusa использует комплексные методы обхода:

• инструменты туннелирования трафика — Ligolo и Cloudflared — для скрытого командного и управленческого трафика;
• утилита Certutil.exe применяется для загрузки и запуска вредоносных компонентов;
• PowerShell — с применением обфускации (кодировка Base64, переменные с перемешанным регистром) для обхода статических антивирусных сигнатур;
• использование подписанных драйверов для отключения процессов EDR (Endpoint Detection and Response), что значительно снижает защиту сети.

Выводы

Группа программ-вымогателей Medusa представляет собой одну из самых активных и развитых угроз в киберпространстве на сегодняшний день. Их использование модельной схемы RaaS, широкого арсенала легитимных инструментов и продвинутых методов обхода защиты свидетельствует о высокой степени организованности и технической подкованности злоумышленников.

Организациям следует обратить особое внимание на жёсткую защиту каналов электронной почты, постоянное обновление уязвимых компонентов, мониторинг необычной сетевой активности и внедрение продвинутых средств обнаружения вторжений.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.