Medusa
Medusa Il ransomware è una sofisticata minaccia informatica nota per le sue rapide capacità di crittografia e per le sue tecniche di distribuzione uniche, che prende di mira principalmente le organizzazioni di vari settori con l'obiettivo di estorcere il pagamento di un riscatto.

L'origine del ransomware Medusa
Medusa o MedusaBlog è un sofisticato gruppo di ransomware che prende attivamente di mira le organizzazioni almeno dall'inizio del 2023. Il gruppo ha acquisito notorietà per le sue capacità di crittografia rapida e per le sue tecniche uniche di diffusione di malware e sembra essere collegato a MedusaLocker. Il nome "Medusa" riflette la tendenza del gruppo a "trasformare i file in pietra", rendendoli inutilizzabili fino al pagamento di un riscatto.
Fonte: Unità42 e OCD
Paesi presi di mira dal ransomware Medusa
La maggior parte degli attacchi di Medusa si è concentrata negli Stati Uniti, ma sono stati segnalati incidenti significativi anche in Paesi come Regno Unito, Canada e Australia. Questa distribuzione indica una focalizzazione sui Paesi sviluppati con ampie infrastrutture digitali.
Fonte: Unità42
I settori presi di mira dal ransomware Medusa
Medusa Il ransomware ha colpito un'ampia gamma di settori. Tra gli obiettivi di alto valore figurano l'assistenza sanitaria, l'industria manifatturiera, l'istruzione e i servizi professionali, a testimonianza della strategia del gruppo di attaccare i settori che gestiscono informazioni critiche e sensibili.
Fonte: Unità42
Medusa vittime del ransomware
Medusa ha preso di mira più di 235 vittime dal 2023.
Fonte: ransomware.live
Medusa Il metodo di attacco del ransomware

Medusa in genere ottiene l'accesso sfruttando le vulnerabilità dei protocolli di desktop remoto (RDP) e impiegando campagne phishing . Utilizzano anche credenziali compromesse acquisite in vari modi.

Una volta all'interno di una rete, Medusa utilizza strumenti come PsExec per elevare i privilegi e stabilire una posizione più forte all'interno del sistema.

Il gruppo disabilita gli strumenti di sicurezza utilizzando script PowerShell e modifica le impostazioni del registro di sistema per evitare il rilevamento. Utilizza inoltre tecniche di crittografia delle stringhe per nascondere il codice dannoso.

Medusa raccoglie le credenziali utilizzando vari strumenti a riga di comando e script, consentendo loro di spostarsi lateralmente attraverso la rete.

Eseguono un'ampia ricognizione della rete utilizzando strumenti come Netscan per identificare obiettivi di valore e raccogliere informazioni sulla topologia della rete.

Medusa utilizza strumenti e protocolli legittimi, come RDP e SMB, per spostarsi lateralmente all'interno della rete, sfruttando le credenziali rubate.

Il ransomware raccoglie i dati sensibili dai sistemi infetti, preparandoli per l'esfiltrazione.

Il ransomware cripta i file utilizzando la crittografia AES256, aggiungendo l'estensione ".medusa" ai file colpiti.

I dati vengono esfiltrati su server remoti controllati dagli aggressori. Questi dati vengono poi utilizzati per spingere le vittime a pagare il riscatto.

La fase finale prevede l'invio di una nota di riscatto, tipicamente denominata "!!read_me_medusa!!.txt", che istruisce le vittime su come pagare il riscatto per decriptare i loro file. Il gruppo utilizza un mix di crittografia RSA e AES per proteggere le transazioni di riscatto.

Medusa in genere ottiene l'accesso sfruttando le vulnerabilità dei protocolli di desktop remoto (RDP) e impiegando campagne phishing . Utilizzano anche credenziali compromesse acquisite in vari modi.

Una volta all'interno di una rete, Medusa utilizza strumenti come PsExec per elevare i privilegi e stabilire una posizione più forte all'interno del sistema.

Il gruppo disabilita gli strumenti di sicurezza utilizzando script PowerShell e modifica le impostazioni del registro di sistema per evitare il rilevamento. Utilizza inoltre tecniche di crittografia delle stringhe per nascondere il codice dannoso.

Medusa raccoglie le credenziali utilizzando vari strumenti a riga di comando e script, consentendo loro di spostarsi lateralmente attraverso la rete.

Eseguono un'ampia ricognizione della rete utilizzando strumenti come Netscan per identificare obiettivi di valore e raccogliere informazioni sulla topologia della rete.

Medusa utilizza strumenti e protocolli legittimi, come RDP e SMB, per spostarsi lateralmente all'interno della rete, sfruttando le credenziali rubate.

Il ransomware raccoglie i dati sensibili dai sistemi infetti, preparandoli per l'esfiltrazione.

Il ransomware cripta i file utilizzando la crittografia AES256, aggiungendo l'estensione ".medusa" ai file colpiti.

I dati vengono esfiltrati su server remoti controllati dagli aggressori. Questi dati vengono poi utilizzati per spingere le vittime a pagare il riscatto.

La fase finale prevede l'invio di una nota di riscatto, tipicamente denominata "!!read_me_medusa!!.txt", che istruisce le vittime su come pagare il riscatto per decriptare i loro file. Il gruppo utilizza un mix di crittografia RSA e AES per proteggere le transazioni di riscatto.
TTP utilizzate dal ransomware Medusa
Come rilevare il ransomware Medusa con Vectra AI
DOMANDE FREQUENTI
Qual è il metodo principale di accesso iniziale di Medusa?
Medusa sfrutta principalmente le vulnerabilità dei protocolli di desktop remoto (RDP) e utilizza le campagne di phishing per ottenere l'accesso iniziale.
Come fa il ransomware Medusa a eludere il rilevamento?
Utilizzano script PowerShell e modificano le impostazioni del registro di sistema per disabilitare gli strumenti di sicurezza ed evitare il rilevamento.
Quali sono i settori più bersagliati dal ransomware Medusa ?
Tra i settori più bersagliati figurano l'assistenza sanitaria, l'industria manifatturiera, l'istruzione e i servizi professionali.
Quali metodi di crittografia utilizza il ransomware Medusa ?
Medusa utilizza una combinazione di crittografia RSA e AES256 per proteggere le transazioni ransomware e criptare i file delle vittime.
Come fa il ransomware Medusa a esfiltrare i dati?
I dati vengono esfiltrati su server remoti controllati dagli aggressori, in genere su canali sicuri per evitare il rilevamento.
Qual è il nome tipico delle note di riscatto utilizzate da Medusa?
La nota di riscatto è tipicamente denominata "!!!read_me_medusa!!!.txt".
Quali strumenti utilizza il ransomware Medusa per la scoperta della rete?
Medusa utilizza strumenti come Netscan per la ricognizione della rete e per identificare obiettivi di valore.
Come fa il ransomware Medusa a spostarsi lateralmente?
Utilizzano strumenti e protocolli legittimi come RDP e SMB, sfruttando le credenziali rubate per spostarsi lateralmente.
Come possono le organizzazioni proteggersi dal ransomware Medusa ?
L'implementazione di solide misure di sicurezza, come l'applicazione regolare di patch, l'utilizzo di un'autenticazione a più fattori e il monitoraggio del traffico di rete alla ricerca di attività insolite, può aiutare a proteggersi da Medusa.
Quale ruolo possono svolgere le soluzioni XDR nella difesa dal ransomware Medusa ?
Le soluzioni XDR offrono visibilità completa e capacità di risposta automatizzata, rilevando e riducendo le attività sospette su endpoint, reti e ambienti cloud .