СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
04.03.2025
#Dev#ИБ#Инфра

Новая версия программы-вымогателя Medusa угрожает системам Windows

Новая версия программы-вымогателя Medusa угрожает системам Windows

Программа-вымогатель Medusa представила новую версию, идентифицируемую по исполняемому файлу BH156.exe, которая представляет собой серьезную угрозу для операционных систем Windows. Эффективность ее распространения обусловлена использованием методов, таких как фишинг и поддельные загрузки, а отсутствие действительной цифровой подписи значительно упрощает ее обнаружение.

Технические характеристики и методы заражения

Файл BH156.exe использует системные команды Windows для выполнения вредоносных действий в памяти, что минимизирует риск выявления. При этом он подключается к api.ipify.org для определения географического местоположения зараженной системы. К числу его особенностей относятся:

  • Изменение записей реестра Windows для автоматического выполнения при перезагрузке системы;
  • Перенаправление выполнения программы на себя;
  • Стратегии сетевой локализации для распространения внутри одной инфраструктуры;
  • Способности к удалению резервных копий файлов, включая теневые копии.

Эволюция Medusa: новые подходы и технологии

Программа-вымогатель демонстрирует универсальный подход, затрагивающий важные отрасли, такие как здравоохранение, образование и государственные службы, где доступность данных является критически важной. Она не только шифрует файлы с использованием криптографических алгоритмов RSA и AES, добавляя к зашифрованным файлам расширение .Medusa, но также похищает конфиденциальную информацию, чтобы принудить жертв к выплате выкупа.

Кроме того, Medusa продолжает эволюционировать, расширяя свои возможности за счет внедрения усовершенствованных методов эксфильтрации и адаптации к современным мерам безопасности. В числе последних нововведений:

  • Использование библиотек Windows, таких как URLMON.DLL, для загрузки дополнительных вредоносных компонентов;
  • Применение MPR.DLL для манипуляции сетевыми функциями;
  • Методы обхода «песочницы» и манипуляция временными метками для сокрытия своей активности от инструментов EDR/XDR.

Рекомендации для организаций

Все эти факторы подчеркивают необходимость постоянного мониторинга и адаптации стратегий киберзащиты. В условиях непрекращающейся угроза от программы-вымогателя Medusa, организациям настоятельно рекомендуется:

  • Внедрять эффективные методы реагирования на инциденты;
  • Разрабатывать стратегии упреждающего обнаружения для снижения рисков, связанных с меняющимся ландшафтом угроз.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: