Per garantire l'adozione dell'IA occorre innanzitutto garantire la visibilità
Leggi il blog
Vectra AIè stata inserita tra i leader nel Magic Quadrant di Gartner per il Network Detection and Response (NDR) del 2025
Riga superiore con icona dell'hamburger
Icona dell'hamburger sulla riga centrale
Icona dell'hamburger in basso a destra
Gruppo di ransomware

Medusa

  1. Stato:
  1. Stato:

Medusa è una sofisticata minaccia informatica nota per la sua capacità di crittografare rapidamente i dati e per le sue tecniche di diffusione uniche; prende di mira principalmente organizzazioni operanti in vari settori con l'obiettivo di estorcere il pagamento di un riscatto.

Individuare le TTP Medusa
La tua organizzazione è al sicuro dagli attacchi Medusa ?
Contesto e obiettivi
TTP
Mappatura MITRE
Rilevamento
Domande frequenti
Guarda il briefing sulle minacce
CONTESTO
PAESI
SETTORI
VITTIME

L'origine del Medusa

Medusa MedusaBlog, è un sofisticato gruppo di ransomware che attacca attivamente le organizzazioni almeno dall'inizio del 2023. Il gruppo si è fatto notare per la sua capacità di crittografare rapidamente i dati e per le tecniche originali utilizzate per diffondere malware proprio malware sembra essere collegato a MedusaLocker. Il nome "Medusa" riflette la tendenza del gruppo a "trasformare metaforicamente i file in pietra", rendendoli inutilizzabili fino al pagamento del riscatto.

Fonte: OCD

Paesi colpiti dal Medusa

La maggior parte degli attacchi Medusa si è concentrata negli Stati Uniti, ma sono stati segnalati episodi significativi anche in paesi come il Regno Unito, il Canada e l'Australia. Questa distribuzione indica una predilezione per i paesi sviluppati dotati di infrastrutture digitali estese.

Fonte: Unit42

Settori colpiti dal Medusa

Medusa ha colpito un ampio ventaglio di settori. Tra gli obiettivi di maggiore rilevanza figurano la sanità, l'industria manifatturiera, l'istruzione e i servizi professionali, il che riflette la strategia del gruppo di attaccare settori che gestiscono informazioni critiche e sensibili.

Fonte: Unit42

Healthcare

Manufacturing

Higher Education

Le vittime Medusa

Dal 2023,Medusa preso di mira più di 235 vittime.

Fonte: ransomware.live

Metodo di attacco

Il metodo di attacco Medusa

Accesso iniziale
Escalation dei privilegi
Resistenza ed elusione delle difese
Accesso alle credenziali
Scoperta
Movimento laterale
Collezione
Esecuzione
Esfiltrazione
Impatto
Una figura oscura che getta un'ampia rete su un panorama digitale popolato da vari dispositivi, quali computer, smartphone e tablet. La rete simboleggia i tentativi dell'aggressore di individuare vulnerabilità o di ricorrere a phishing per ottenere un accesso non autorizzato.

Medusa ottiene Medusa l'accesso sfruttando le vulnerabilità dei protocolli di desktop remoto (RDP) e ricorrendo a phishing . Inoltre, utilizza credenziali compromesse acquisite con vari mezzi.

Una scala digitale che sale dall'icona di un utente standard verso una corona, simbolo dei privilegi amministrativi. Ciò rappresenta gli sforzi compiuti dall'autore dell'attacco per ottenere un livello di accesso più elevato all'interno del sistema.

Una volta penetrata in una rete, Medusa strumenti come PsExec per elevare i propri privilegi e consolidare la propria presenza all'interno del sistema.

Un camaleonte che si mimetizza su uno sfondo digitale, circondato da una serie di zero e uno. Ciò rappresenta la capacità dell'autore dell'attacco di eludere i sistemi di sicurezza, cambiando tattica per confondersi con il normale traffico di rete.

Il gruppo disattiva gli strumenti di sicurezza tramite script PowerShell e modifica le impostazioni del Registro di sistema per eludere il rilevamento. Inoltre, ricorre a tecniche di crittografia delle stringhe per nascondere il codice dannoso.

Un ladro munito di un kit di grimaldelli che sta maneggiando una gigantesca serratura a forma di modulo di accesso, a simboleggiare i tentativi dell'aggressore di sottrarre le credenziali degli utenti per ottenere un accesso non autorizzato.

Medusa le credenziali utilizzando vari strumenti da riga di comando e script, il che le consente di muoversi lateralmente all'interno della rete.

Una lente d'ingrandimento che si sposta su una mappa digitale di una rete, evidenziando file, cartelle e connessioni di rete. Questa immagine rappresenta la fase in cui gli aggressori esplorano l'ambiente per comprenderne la struttura e individuare dove si trovano i dati sensibili.

Effettuano un'approfondita ricognizione della rete utilizzando strumenti come Netscan per individuare obiettivi di valore e raccogliere informazioni sulla topologia della rete.

Una serie di nodi interconnessi tra cui si muove furtivamente una figura indistinta. Ciò illustra i movimenti dell'autore dell'attacco all'interno della rete, inteso a ottenere il controllo di ulteriori sistemi o a diffondere malware.

Medusa strumenti e protocolli legittimi, come RDP e SMB, per muoversi lateralmente all'interno della rete, sfruttando le credenziali rubate.

Un grande aspirapolvere che risucchia file, icone di dati e cartelle in un sacco tenuto in mano da una figura indistinta. Questa immagine simboleggia il processo di raccolta di dati preziosi dalla rete di destinazione.

Il ransomware raccoglie dati sensibili dai sistemi infetti, preparandoli per l'esfiltrazione.

Una finestra del prompt dei comandi aperta su uno sfondo digitale, con del codice dannoso che viene digitato. Questa immagine rappresenta la fase in cui gli aggressori eseguono il loro payload dannoso all'interno del sistema compromesso.

Il ransomware crittografa i file utilizzando l'algoritmo AES-256 e aggiunge l'estensione ".medusa" ai file compromessi.

Una serie di file viene trasferita tramite un canale segreto da un computer a un cloud da un teschio, a simboleggiare il trasferimento non autorizzato di dati verso una destinazione controllata dall'autore dell'attacco.

I dati vengono sottratti e trasferiti su server remoti controllati dagli autori dell'attacco. Questi dati vengono poi utilizzati per costringere le vittime a pagare il riscatto.

Uno schermo incrinato con alle spalle un panorama urbano digitale in preda al caos, che simboleggia l'impatto distruttivo di un attacco informatico, come l'interruzione dei servizi, la distruzione dei dati o le perdite finanziarie.

La fase finale prevede l'invio di una nota di riscatto, solitamente denominata "!!read_me_medusa!!.txt", che spiega alle vittime come pagare il riscatto per decriptare i propri file. Il gruppo utilizza una combinazione di crittografia RSA e AES per proteggere le transazioni relative al riscatto.

Una figura oscura che getta un'ampia rete su un panorama digitale popolato da vari dispositivi, quali computer, smartphone e tablet. La rete simboleggia i tentativi dell'aggressore di individuare vulnerabilità o di ricorrere a phishing per ottenere un accesso non autorizzato.
Accesso iniziale

Medusa ottiene Medusa l'accesso sfruttando le vulnerabilità dei protocolli di desktop remoto (RDP) e ricorrendo a phishing . Inoltre, utilizza credenziali compromesse acquisite con vari mezzi.

Una scala digitale che sale dall'icona di un utente standard verso una corona, simbolo dei privilegi amministrativi. Ciò rappresenta gli sforzi compiuti dall'autore dell'attacco per ottenere un livello di accesso più elevato all'interno del sistema.
Escalation dei privilegi

Una volta penetrata in una rete, Medusa strumenti come PsExec per elevare i propri privilegi e consolidare la propria presenza all'interno del sistema.

Un camaleonte che si mimetizza su uno sfondo digitale, circondato da una serie di zero e uno. Ciò rappresenta la capacità dell'autore dell'attacco di eludere i sistemi di sicurezza, cambiando tattica per confondersi con il normale traffico di rete.
Evasione difensiva

Il gruppo disattiva gli strumenti di sicurezza tramite script PowerShell e modifica le impostazioni del Registro di sistema per eludere il rilevamento. Inoltre, ricorre a tecniche di crittografia delle stringhe per nascondere il codice dannoso.

Un ladro munito di un kit di grimaldelli che sta maneggiando una gigantesca serratura a forma di modulo di accesso, a simboleggiare i tentativi dell'aggressore di sottrarre le credenziali degli utenti per ottenere un accesso non autorizzato.
Accesso alle credenziali

Medusa le credenziali utilizzando vari strumenti da riga di comando e script, il che le consente di muoversi lateralmente all'interno della rete.

Una lente d'ingrandimento che si sposta su una mappa digitale di una rete, evidenziando file, cartelle e connessioni di rete. Questa immagine rappresenta la fase in cui gli aggressori esplorano l'ambiente per comprenderne la struttura e individuare dove si trovano i dati sensibili.
Scoperta

Effettuano un'approfondita ricognizione della rete utilizzando strumenti come Netscan per individuare obiettivi di valore e raccogliere informazioni sulla topologia della rete.

Una serie di nodi interconnessi tra cui si muove furtivamente una figura indistinta. Ciò illustra i movimenti dell'autore dell'attacco all'interno della rete, inteso a ottenere il controllo di ulteriori sistemi o a diffondere malware.
Movimento laterale

Medusa strumenti e protocolli legittimi, come RDP e SMB, per muoversi lateralmente all'interno della rete, sfruttando le credenziali rubate.

Un grande aspirapolvere che risucchia file, icone di dati e cartelle in un sacco tenuto in mano da una figura indistinta. Questa immagine simboleggia il processo di raccolta di dati preziosi dalla rete di destinazione.
Collezione

Il ransomware raccoglie dati sensibili dai sistemi infetti, preparandoli per l'esfiltrazione.

Una finestra del prompt dei comandi aperta su uno sfondo digitale, con del codice dannoso che viene digitato. Questa immagine rappresenta la fase in cui gli aggressori eseguono il loro payload dannoso all'interno del sistema compromesso.
Esecuzione

Il ransomware crittografa i file utilizzando l'algoritmo AES-256 e aggiunge l'estensione ".medusa" ai file compromessi.

Una serie di file viene trasferita tramite un canale segreto da un computer a un cloud da un teschio, a simboleggiare il trasferimento non autorizzato di dati verso una destinazione controllata dall'autore dell'attacco.
Esfiltrazione

I dati vengono sottratti e trasferiti su server remoti controllati dagli autori dell'attacco. Questi dati vengono poi utilizzati per costringere le vittime a pagare il riscatto.

Uno schermo incrinato con alle spalle un panorama urbano digitale in preda al caos, che simboleggia l'impatto distruttivo di un attacco informatico, come l'interruzione dei servizi, la distruzione dei dati o le perdite finanziarie.
Impatto

La fase finale prevede l'invio di una nota di riscatto, solitamente denominata "!!read_me_medusa!!.txt", che spiega alle vittime come pagare il riscatto per decriptare i propri file. Il gruppo utilizza una combinazione di crittografia RSA e AES per proteggere le transazioni relative al riscatto.

MITRE ATT&CK

TTP utilizzati dal Medusa

TA0001: Initial Access
T1566
Phishing
T1133
External Remote Services
T1078
Valid Accounts
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
T1098
Account Manipulation
T1078
Valid Accounts
TA0004: Privilege Escalation
T1078
Valid Accounts
TA0005: Defense Evasion
T1112
Modify Registry
T1027
Obfuscated Files or Information
T1070
Indicator Removal
T1562
Impair Defenses
T1078
Valid Accounts
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
T1046
Network Service Discovery
T1018
Remote System Discovery
TA0008: Lateral Movement
T1021
Remote Services
TA0009: Collection
T1115
Clipboard Data
TA0011: Command and Control
T1105
Ingress Tool Transfer
TA0010: Exfiltration
T1041
Exfiltration Over C2 Channel
TA0040: Impact
T1486
Data Encrypted for Impact
Rilevamenti della piattaforma

Come individuare Medusa con Vectra AI

AWS Ransomware S3 Activity

M365 Internal Spearphishing

M365 Ransomware

Ransomware File Activity

RDP Recon

Suspicious Port Scan

Visualizza altri rilevamenti
Valuta la tua vulnerabilità agli attacchi

La tua organizzazione è al sicuro dagli attacchi Medusa ?

Valuta la tua vulnerabilità agli attacchi

Domande frequenti

Qual è la principale tecnica di accesso iniziale utilizzata Medusa?

In che modo Medusa riesce a eludere i sistemi di rilevamento?

Quali sono i settori più colpiti dal Medusa ?

Quali metodi di crittografia utilizza Medusa ?

In che modo Medusa sottrae i dati?

Qual è il nome tipico della richiesta di riscatto utilizzata da Medusa?

Quali strumenti utilizza Medusa per l'individuazione delle reti?

In che modo Medusa riesce a muoversi lateralmente?

In che modo le organizzazioni possono proteggersi dal Medusa ?

Quale ruolo possono svolgere le soluzioni XDR nella difesa contro Medusa ?