Medusa: Угроза программ-вымогателей в критической инфраструктуре
Источник: www.picussecurity.com
С момента своего появления в 2021 году программа-вымогатель Medusa зарекомендовала себя как одна из самых опасных угроз в киберпространстве. Продаваемая в формате Ransomware as a Service (RaaS), она оказалась участницей более 300 инцидентов, затрагивающих различные критически важные сектора, включая здравоохранение, юриспруденцию и технологии.
Структура и функциональность Medusa
Изначально разработанная как проприетарный инструмент одной группой, Medusa со временем перешла к партнерской модели, сохранив за основными разработчиками контроль над ключевыми операциями, включая переговоры о выкупе. Хакеры, стоящие за этой схемой, демонстрируют высокую финансовую мотивацию и используют стратегию двойного вымогательства, которая включает:
- Шифрование данных жертвы;
- Угроза раскрытия данных в случае неуплаты выкупа;
- Варьирование требований о выкупе, доходящих иногда до миллионов долларов.
Методы проникновения
Первоначальный доступ к Medusa обычно достигается через фишинговые кампании, нацеленные на кражу учетных данных, а также на использование известных уязвимостей. К числу наиболее известных эксплойтов относятся:
- CVE-2024-1709 для ConnectWise ScreenConnect;
- CVE-2023-48788 для Fortinet EMS.
Технологии и тактики
После проникновения в сеть злоумышленники применяют разнообразные методы для дальнейшего перемещения и сбора информации, включая:
- Использование автономных двоичных файлов (LoLBin);
- Применение легальных инструментов, таких как Advanced IP Scanner;
- Внедрение встроенных средств Windows, например, PowerShell и Windows Management Instrumentation (WMI).
Для улучшения своих позиций в сети злоумышленники могут изменять настройки безопасности, в том числе:
- Изменение правил брандмауэра для доступа по протоколу RDP;
- Отключение программного обеспечения безопасности с помощью метода «принесите свой собственный уязвимый драйвер» (BYOVD).
Методы шифрования и утечки данных
Для шифрования файлов Medusa использует AES-256 и добавляет расширение .medusa к зашифрованным данным. Утечка данных осуществляется с помощью инструментов, таких как rclone. Команда, использующаяся для выполнения шифрования и создания сообщений о требовании выкупа, называется gaze.exe.
Рекомендации по защите
Организациям рекомендуют внедрять стратегии смягчения последствий, которые включают:
- Оперативное устранение известных уязвимостей;
- Надежную фильтрацию электронной почты для защиты от фишинга;
- Удаление истории команд PowerShell для предотвращения обнаружения злоумышленников.
Medusa продолжает представлять собой серьезную угрозу для многопрофильных организаций, и для обеспечения кибербезопасности важно соблюдать вышеуказанные рекомендации.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
