Medusa Locker: эволюция RaaS, TOR v3 и глобальные последствия
Программа-вымогатель Medusa Locker активна с 2019 года и в последнее время претерпела значительные изменения. Новые технические детали и операционные особенности указывают на рост масштабов атак и усложнение задач по их пресечению и расследованию.
«Medusa Locker характеризуется постоянной связью с российским хостингом, преимущественно с использованием Dark Web, и работает по модели RaaS, что увеличивает число жертв в разных секторах».
Что это за угроза
Medusa Locker — это программа-вымогатель, действующая по модели RaaS (Ransomware-as-a-Service). Группа, стоящая за ней, предоставляет возможности для проведения атак другим злоумышленникам, что расширяет охват и разнообразие пострадавших организаций.
Ключевые технические характеристики
- Постоянная коммуникация с инфраструктурой на российском хостинге, активность в Dark Web.
- Две идентифицируемые фазы работы — до и после внедрения TOR v3 в операционной цепочке.
- Наличие каналов связи с жертвами: целевые адреса эл. почты и идентификаторы чатов TOX, используемые для переговоров о выкупе.
- Выявлены варианты, обозначенные как BabylockerKZ, связанные с mutex-идентификатором HOHOL1488.
Варианты и проблемы с атрибуцией
Анализ выявил, что схема именования и отличия между вариантами затрудняют отслеживание и корреляцию инцидентов. Важно отличать Medusa Locker от несвязанного варианта Medusa Ransomware: ошибочная идентификация разных сущностей может сорвать защитные меры и затруднить атрибуцию инцидентов.
География и масштабы воздействия
- Зафиксированы заражения в 10 странах.
- Пострадавшие организации представляют не менее 13 отраслей промышленности, что свидетельствует о широком целевом фокусе группы.
Инцидент с уязвимостью платформы продажи билетов
Особое внимание вызывает уязвимость, обнаруженная в платформе продажи билетов, связанной с операторами Medusa Locker. Эксплуатация этой уязвимости потенциально позволяет провести дальнейший анализ инфраструктуры злоумышленников и ускорить расследование — при условии корректного и скоординированного реагирования со стороны исследователей и правоохранительных органов.
Выплаты выкупа и операционная эффективность
Данные о выплатах выкупа указывают на устойчивую операционную эффективность группы. Стабильные поступления от жертв помогают поддерживать инфраструктуру и мотивируют дальнейшее развитие инструментов и тактик.
Рекомендации для защиты и расследования
- Постоянно обновлять базы IOC и сопоставлять их с актуальными индикаторами, включая mutex-идентификаторы (например, HOHOL1488) и обозначения вариантов (BabylockerKZ).
- Отличать Medusa Locker от других, внешне похожих семейств, таких как Medusa Ransomware, чтобы избежать ошибок при реагировании.
- Контролировать и анализировать коммуникационные каналы (TOR v3, TOX, целевые e-mail), использовать данные переговоров для атрибуции и цепочки компрометации.
- Исследовать уязвимости публичных сервисов, связанных с группой (например, платформа продажи билетов) в тесном взаимодействии с правоохранительными органами.
- Усилить сегментацию сети и резервное копирование критичных систем для уменьшения потенциального ущерба в случае шифрования данных.
Выводы
Medusa Locker остаётся эволюционирующей и активной угрозой с широким охватом и устойчивой операционной моделью. Модель RaaS увеличивает число злоумышленников, имеющих доступ к инструментам группы, а внедрение каналов связи через TOR v3 и TOX повышает сложность расследований. Постоянное отслеживание технических характеристик, корректная атрибуция и скоординированное реагирование — ключевые элементы для снижения риска и минимизации последствий атак.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



