Medusa
Medusa è una sofisticata minaccia informatica nota per le sue rapide capacità di crittografia e le sue tecniche di diffusione uniche, che prende di mira principalmente organizzazioni di vari settori con l'obiettivo di estorcere il pagamento di un riscatto.
L'origine del Medusa
Medusa MedusaBlog è un sofisticato gruppo di ransomware che attacca attivamente le organizzazioni almeno dall'inizio del 2023. Il gruppo è diventato famoso per le sue rapide capacità di crittografia e le tecniche uniche di diffusione del malware sembra essere collegato a MedusaLocker. Il nome "Medusa" riflette la tendenza del gruppo a "trasformare i file in pietra", rendendoli inutilizzabili fino al pagamento di un riscatto.
Paesi presi di mira dal Medusa
La maggior parte degli attacchi Medusa si è concentrata negli Stati Uniti, ma incidenti significativi sono stati segnalati anche in paesi come il Regno Unito, il Canada e l'Australia. Questa distribuzione indica un'attenzione particolare verso i paesi sviluppati con infrastrutture digitali estese.
Fonte: Unit42
Settori presi di mira dal Medusa
Medusa ha colpito un'ampia gamma di settori. Tra gli obiettivi di alto valore figurano la sanità, l'industria manifatturiera, l'istruzione e i servizi professionali, il che riflette la strategia del gruppo di attaccare settori che gestiscono informazioni critiche e sensibili.
Fonte: Unit42
Le vittime Medusa
Dal 2023Medusa preso di mira più di 235 vittime.
Fonte: ransomware.live
Metodo di attacco Medusa
Medusa ottiene Medusa l'accesso sfruttando le vulnerabilità dei protocolli RDP (Remote Desktop Protocol) e utilizzando phishing . Utilizza inoltre credenziali compromesse acquisite con vari mezzi.
Una volta all'interno di una rete, Medusa strumenti come PsExec per elevare i privilegi e stabilire una posizione più solida all'interno del sistema.
Il gruppo disabilita gli strumenti di sicurezza utilizzando script PowerShell e modifica le impostazioni del registro per evitare il rilevamento. Utilizza inoltre tecniche di crittografia delle stringhe per nascondere il codice dannoso.
Medusa le credenziali utilizzando vari strumenti a riga di comando e script, consentendo loro di spostarsi lateralmente attraverso la rete.
Eseguono una ricognizione approfondita della rete utilizzando strumenti come Netscan per identificare obiettivi di valore e raccogliere informazioni sulla topologia della rete.
Medusa strumenti e protocolli legittimi, come RDP e SMB, per muoversi lateralmente all'interno della rete, sfruttando le credenziali rubate.
Il ransomware raccoglie dati sensibili dai sistemi infetti, preparandoli per l'esfiltrazione.
Il ransomware crittografa i file utilizzando la crittografia AES256, aggiungendo l'estensione ".medusa" ai file interessati.
I dati vengono sottratti e trasferiti su server remoti controllati dagli aggressori. Questi dati vengono poi utilizzati per esercitare pressione sulle vittime affinché paghino il riscatto.
La fase finale prevede l'invio di una richiesta di riscatto, solitamente denominata "!!read_me_medusa!!.txt", che fornisce alle vittime le istruzioni su come pagare il riscatto per decriptare i propri file. Il gruppo utilizza una combinazione di crittografia RSA e AES per proteggere le transazioni relative al riscatto.
Medusa ottiene Medusa l'accesso sfruttando le vulnerabilità dei protocolli RDP (Remote Desktop Protocol) e utilizzando phishing . Utilizza inoltre credenziali compromesse acquisite con vari mezzi.
Una volta all'interno di una rete, Medusa strumenti come PsExec per elevare i privilegi e stabilire una posizione più solida all'interno del sistema.
Il gruppo disabilita gli strumenti di sicurezza utilizzando script PowerShell e modifica le impostazioni del registro per evitare il rilevamento. Utilizza inoltre tecniche di crittografia delle stringhe per nascondere il codice dannoso.
Medusa le credenziali utilizzando vari strumenti a riga di comando e script, consentendo loro di spostarsi lateralmente attraverso la rete.
Eseguono una ricognizione approfondita della rete utilizzando strumenti come Netscan per identificare obiettivi di valore e raccogliere informazioni sulla topologia della rete.
Medusa strumenti e protocolli legittimi, come RDP e SMB, per muoversi lateralmente all'interno della rete, sfruttando le credenziali rubate.
Il ransomware raccoglie dati sensibili dai sistemi infetti, preparandoli per l'esfiltrazione.
Il ransomware crittografa i file utilizzando la crittografia AES256, aggiungendo l'estensione ".medusa" ai file interessati.
I dati vengono sottratti e trasferiti su server remoti controllati dagli aggressori. Questi dati vengono poi utilizzati per esercitare pressione sulle vittime affinché paghino il riscatto.
La fase finale prevede l'invio di una richiesta di riscatto, solitamente denominata "!!read_me_medusa!!.txt", che fornisce alle vittime le istruzioni su come pagare il riscatto per decriptare i propri file. Il gruppo utilizza una combinazione di crittografia RSA e AES per proteggere le transazioni relative al riscatto.
TTP utilizzati dal Medusa
Come rilevare Medusa con Vectra AI
Domande frequenti
Qual è il metodo principale Medusa per ottenere l'accesso iniziale?
Medusa sfrutta Medusa le vulnerabilità dei protocolli RDP (Remote Desktop Protocol) e utilizza phishing per ottenere l'accesso iniziale.
In che modo Medusa elude il rilevamento?
Utilizzano script PowerShell e modificano le impostazioni del registro per disabilitare gli strumenti di sicurezza ed evitare il rilevamento.
Quali sono i settori più colpiti dal Medusa ?
I settori più colpiti sono quelli della sanità, dell'industria manifatturiera, dell'istruzione e dei servizi professionali.
Quali metodi di crittografia utilizza Medusa ?
Medusa una combinazione di crittografia RSA e AES256 per proteggere le transazioni ransomware e crittografare i file delle vittime.
In che modo Medusa sottrae i dati?
I dati vengono sottratti e trasferiti a server remoti controllati dagli aggressori, solitamente attraverso canali sicuri per evitare di essere scoperti.
Qual è il nome tipico utilizzato da Medusa nelle richieste di riscatto?
Il messaggio di riscatto è solitamente denominato "!!read_me_medusa!!.txt".
Quali strumenti utilizza Medusa per individuare le reti?
Medusa strumenti come Netscan per la ricognizione della rete e per identificare obiettivi di valore.
In che modo Medusa ottiene il movimento laterale?
Utilizzano strumenti e protocolli legittimi come RDP e SMB, sfruttando le credenziali rubate per muoversi lateralmente.
Come possono le organizzazioni proteggersi dal Medusa ?
L'implementazione di misure di sicurezza efficaci, quali l'applicazione regolare di patch, l'utilizzo dell'autenticazione a più fattori e il monitoraggio del traffico di rete per individuare attività insolite, può aiutare a proteggersi da Medusa.
Quale ruolo possono svolgere le soluzioni XDR nella difesa contro Medusa ?
Le soluzioni XDR offrono visibilità completa e funzionalità di risposta automatizzata, rilevando e mitigando le attività sospette su endpoint, reti e cloud .