СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
Вчера в 15:33
#ИБ

Medusa RaaS: тройное вымогательство и злоупотребление RMM

К концу 2025 года и в начале 2026-го программа-вымогатель Medusa действовала не как одиночный вредонос, а как полноценная криминальная экосистема — RaaS (ransomware-as-a-service), признанная угрозой со стороны CISA и FBI. По оценкам, на неё пришлось воздействие более чем на 500 организаций, а тактика группировок, связанных с Medusa, продемонстрировала заметный сдвиг в сторону злоупотребления легитимными инструментами администрирования и эскалации давления на жертв.

Кто стоит за атаками

Акторы, ассоциируемые с Medusa, действуют под различными псевдонимами — среди них Storm-1175 и Spearwing. Они сотрудничают с брокерами первоначального доступа (IAB) и другими киберпреступными группами, включая Frozen Spider и UNC7885, что усиливает их возможности по компрометации сетей и организации масштабных атак.

Тактика и инструменты: что меняется

Medusa использует сложную стратегию тройного вымогательства, сочетающую:

  • шифрование данных;
  • угрозы публикации/утечки данных;
  • дополнительное давление через DDoS-атаки и прямую связь с клиентами пострадавших организаций.

Для получения первоначального доступа злоумышленники обычно используют:

  • приобретённые скомпрометированные учетные данные или аккаунты IAB;
  • фишинговые кампании, credential stuffing и brute force;
  • уязвимости в неправильно сконфигурированных системах, доступных из интернета.

Примечательной особенностью последних кампаний стало массовое злоупотребление легитимными инструментами удалённого мониторинга и управления — RMM. В частности, в ряде инцидентов фиксировалось использование JWrapper (инструмент для управления Java-приложениями), а также подключений к серверам, контролируемым злоумышленниками, например через SimpleHelp. Это позволяет атакующим маскировать активность под нормальную административную работу и усложняет обнаружение.

Целевые секторы и последствия

Medusa не делает чёткого секторного отбора — в числе пострадавших оказались организации из финансового сектора, промышленности и здравоохранения. Последний особенно уязвим ввиду критически важной инфраструктуры и чувствительности данных пациентов.

Инциденты и роль Darktrace

По данным Darktrace, с декабря 2023 по ноябрь 2025 года среди их клиентов фиксировались многочисленные попытки шифрования файлов, связанные с Medusa, иногда успешно предотвращённые благодаря возможностям автономного реагирования. В одном случае (4 квартал 2025) Darktrace оказывала поддержку европейской организации, где расследование осложнялось частичной видимостью сети и затрудняло определение точки первоначального доступа.

Это продолжающееся злоупотребление законными технологиями знаменует собой изменение тактики по сравнению с традиционными методами вымогательства.

Индикаторы компрометации (IOCs) и технические детали

Наблюдаемые IOCs включают IP-адреса и домены, связанные с вредоносными серверами SimpleHelp, а также активность на портах 443, 445 и 80. Во время фазы эксфильтрации операторы Medusa направляли данные на определённые конечные точки, в том числе erp.ranasons.com и cada-dia.pintacuario.MX, что указывает на целевой характер отбора ресурсов для утечки.

Что это значит для организаций

Смена акцента на использование легитимных решений управления и наём IAB увеличивает сложность обнаружения и реагирования. Традиционные сигнатуры и механизмы блокировки не всегда эффективны против операций, маскирующихся под законную административную активность.

Рекомендации по защите

  • Внедрить многофакторную аутентификацию (MFA) для всех административных аккаунтов и удалённого доступа;
  • Ограничить и мониторить использование RMM-инструментов, применять принцип наименьших привилегий;
  • Сегментировать сеть и ограничить прямые соединения с критическими ресурсами из внешнего интернета;
  • Регулярно обновлять и патчить публично доступные сервисы; обнаружение и устранение misconfigurations — приоритет;
  • Развернуть EDR/XDR и поведенческий мониторинг для выявления аномалий, характерных для злоупотребления легитимными инструментами;
  • Ввести процедуры резервного копирования и тестирования восстановления; предусмотреть планы коммуникации с клиентами при риске утечки;
  • Обмениваться threat intelligence (IOC) с профильными командами и регуляторами, включая CISA и правоохранительные органы.

Вывод

Medusa показывает, что современные вымогатели эволюционируют не только в коде вредоносных программ, но и в организационной модели — через RaaS, кооперацию с IAB и злоупотребление легитимными RMM-инструментами. Это требует от организаций переосмысления подходов к управлению доступом, мониторингу и реагированию: защита должна охватывать не только сигнатуры и шифрование, но и контроль над законными административными процессами.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: