Операторы шифровальщика Medusa атаковали три сотни организаций критической инфраструктуры в США

Атаки вируса-вымогателя Medusa охватили более 300 компаний, связанных с критически важными отраслями в Соединённых Штатах. Об этом сообщает Агентство по кибербезопасности и безопасности инфраструктуры (CISA) в совместном заявлении с Федеральным бюро расследований (ФБР) и Межгосударственным центром обмена и анализа информации (MS-ISAC).

По данным этих организаций, к февралю текущего года злоумышленники, связанные с Medusa, атаковали предприятия здравоохранения, образования, юриспруденции, страхования, технологий и производства. В выпущенном документе подчёркивается, что для защиты от атак необходимо учитывать рекомендации, изложенные в разделе «Смягчение последствий».

Группа Medusa впервые проявила активность в январе 2021 года, но киберпреступники начали действовать более агрессивно только через два года. В 2023 году они создали платформу Medusa Blog, где публиковали похищенные данные, вынуждая жертв выплачивать выкуп. С тех пор банда нанесла ущерб сотням компаний по всему миру.

Весной 2023 года она оказалась в центре внимания после взлома системы государственных школ Миннеаполиса. Видеозапись украденных данных была размещена в открытом доступе, что вызвало широкий общественный резонанс. Осенью того же года киберпреступники атаковали финансовое подразделение Toyota и потребовали 8 млн долларов за сохранение конфиденциальности информации. После отказа компании от выплаты файлы были опубликованы в даркнете.

Первоначально Medusa действовала как закрытая группировка, самостоятельно занимаясь разработкой вредоносного программного обеспечения и проведением атак. Позже она перешла на модель Ransomware-as-a-Service (RaaS), что позволило привлекать партнёров. Несмотря на это, разработчики Medusa продолжают контролировать основные процессы, включая переговоры с жертвами.

Как отмечают в CISA, киберпреступники обычно привлекают брокеров начального доступа (IAB), работающих на подпольных форумах. Эти посредники получают вознаграждение в диапазоне от 100 тыс. до 1 млн долларов за предоставление доступа к сетям потенциальных целей. Medusa также предлагает эксклюзивные условия для киберпреступников, которые соглашаются работать только на неё.