Увеличение атак Medusa: опасное развитие программ-вымогателей
Число атак программ-вымогателей Medusa заметно возросло, увеличившись на 42% в период с 2023 по 2024 год. В начале 2025 года эксперты отмечают еще более резкий рост, что вызывает тревогу среди специалистов в области кибербезопасности. Данная программа-вымогатель функционирует по модели «программа-вымогатель как услуга» (RaaS), управляемой группой, известной как Spearwing.
Тактика и методы Spearwing
Spearwing часто использует тактику двойного вымогательства, производя кражу данных перед шифрованием. Это призвано заставить жертв заплатить выкуп, который варьируется от 100 000 до 15 миллионов долларов. Согласно отчетам, с момента появления Medusa в начале 2023 года, от атак пострадали около 400 человек. Однако данное число может значительно преуменьшать общее воздействие на организацию.
Способы доступа и эксплуатации
Группа в основном использует незащищенные уязвимости в серверах Microsoft Exchange для получения первоначального доступа к сети. Известно, что злоумышленники занимаются взломом законных учетных записей, в том числе посредством использования посредников первоначального доступа.
Инструменты и технологии
Злоумышленники Medusa применяют различные легальные инструменты и программное обеспечение, такие как:
- SimpleHelp
- AnyDesk
- Mesh Agent
Эти инструменты помогают в удаленном управлении и поддержании доступа. Также они внедряют метод создания собственного уязвимого драйвера (BYOVD), используя такие драйверы, как KillAV, для деактивации программного обеспечения безопасности.
Методы атаки и эксфильтрации
Используемые методы эксфильтрации данных включают средства, такие как:
- Rclone
- Navicat
- RoboCopy
- Инструменты сетевой разведки, такие как NetScan
В ходе специфической атаки на американскую организацию здравоохранения в январе 2025 года злоумышленники первоначально закрепились за четыре дня до развертывания программы-вымогателя. Они использовали множество инструментов для постоянного доступа и перемещения по сети, включая известные эксплойты драйверов.
Программа-вымогатель Medusa
Программа-вымогатель, получившая название gaze.exe, не могла шифровать определенные типы файлов и использовала закодированные инструкции для завершения работы основных служб и процессов для упрощения своего развертывания. Medusa идентифицируется по различным хэш-сигнатурам, включая c28fa95a5d151d9e1d7642915ec5a727.
Вредоносная программа располагает компонентами, такими как быстрые исполняемые файлы обратного прокси-сервера и подозрительные инструменты KillAV для расширения своих возможностей. В ходе атак они размещают заметки с надписью !READ_ME_MEDUSA!!!.txt в зашифрованные каталоги, что указывает на наличие требования о выкупе.
Заключение
Последовательность тактики, используемой Medusa с начала 2023 года, свидетельствует о хорошо организованной операции, отличающейся от традиционных систем RaaS. Это значительно усложняет усилия по исправлению положения для пострадавших организаций, так как программа-вымогатель включает в себя различные инструменты для отключения функций антивируса и разведки.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
