La vostra organizzazione è al sicuro dagli attacchi di Medusa Ransomware?

L'origine del ransomware Medusa

Medusa o MedusaBlog è un sofisticato gruppo di ransomware che prende attivamente di mira le organizzazioni almeno dall'inizio del 2023. Il gruppo ha acquisito notorietà per le sue capacità di crittografia rapida e per le sue tecniche uniche di diffusione di malware e sembra essere collegato a MedusaLocker. Il nome "Medusa" riflette la tendenza del gruppo a "trasformare i file in pietra", rendendoli inutilizzabili fino al pagamento di un riscatto.

Fonte: Unità42 e OCD

Obiettivi

Medusaobiettivi

Paesi presi di mira dal ransomware Medusa

La maggior parte degli attacchi di Medusa si è concentrata negli Stati Uniti, ma sono stati segnalati incidenti significativi anche in Paesi come Regno Unito, Canada e Australia. Questa distribuzione indica una focalizzazione sui Paesi sviluppati con ampie infrastrutture digitali.

^Fonte:^Unità42

I settori presi di mira dal ransomware Medusa

Medusa Il ransomware ha colpito un'ampia gamma di settori. Tra gli obiettivi di alto valore figurano l'assistenza sanitaria, l'industria manifatturiera, l'istruzione e i servizi professionali, a testimonianza della strategia del gruppo di attaccare i settori che gestiscono informazioni critiche e sensibili.

^Fonte:^Unità42

I settori presi di mira dal ransomware Medusa

Medusa Il ransomware ha colpito un'ampia gamma di settori. Tra gli obiettivi di alto valore figurano l'assistenza sanitaria, l'industria manifatturiera, l'istruzione e i servizi professionali, a testimonianza della strategia del gruppo di attaccare i settori che gestiscono informazioni critiche e sensibili.

^Fonte:^Unità42

Medusa vittime del ransomware

Medusa ha preso di mira più di 235 vittime dal 2023.

Fonte: ransomware.live

Metodo di attacco

Medusa Il metodo di attacco del ransomware

Una figura ombrosa che getta un'ampia rete su un paesaggio digitale pieno di vari dispositivi come computer, smartphone e tablet. La rete simboleggia i tentativi dell'attaccante di trovare vulnerabilità o di utilizzare le tecniche di phishing per ottenere un accesso non autorizzato.

Medusa in genere ottiene l'accesso sfruttando le vulnerabilità dei protocolli di desktop remoto (RDP) e impiegando campagne phishing . Utilizzano anche credenziali compromesse acquisite in vari modi.

Una scala digitale che si estende verso l'alto da un'icona utente di base verso una corona che simboleggia i privilegi amministrativi. Questo rappresenta gli sforzi dell'attaccante per ottenere un accesso di livello superiore all'interno del sistema.

Una volta all'interno di una rete, Medusa utilizza strumenti come PsExec per elevare i privilegi e stabilire una posizione più forte all'interno del sistema.

Un camaleonte che si mimetizza in uno sfondo digitale, con zeri e uno che gli scorrono intorno. Questo rappresenta la capacità dell'attaccante di evitare il rilevamento da parte delle misure di sicurezza, cambiando tattica per confondersi con il normale traffico di rete.

Il gruppo disabilita gli strumenti di sicurezza utilizzando script PowerShell e modifica le impostazioni del registro di sistema per evitare il rilevamento. Utilizza inoltre tecniche di crittografia delle stringhe per nascondere il codice dannoso.

Un ladro con un kit di grimaldelli che lavora su un buco della serratura gigante a forma di modulo di login, che rappresenta gli sforzi dell'attaccante di rubare le credenziali dell'utente per ottenere un accesso non autorizzato.

Medusa raccoglie le credenziali utilizzando vari strumenti a riga di comando e script, consentendo loro di spostarsi lateralmente attraverso la rete.

Una lente di ingrandimento che si muove su una mappa digitale di una rete, evidenziando file, cartelle e connessioni di rete. Questa immagine rappresenta la fase in cui gli aggressori esplorano l'ambiente per capire la struttura e dove risiedono i dati preziosi.

Eseguono un'ampia ricognizione della rete utilizzando strumenti come Netscan per identificare obiettivi di valore e raccogliere informazioni sulla topologia della rete.

Una serie di nodi interconnessi con una figura oscura che si muove furtivamente tra di essi. Questo illustra i movimenti dell'attaccante all'interno della rete, che cerca di ottenere il controllo di altri sistemi o di diffondere malware.

Medusa utilizza strumenti e protocolli legittimi, come RDP e SMB, per spostarsi lateralmente all'interno della rete, sfruttando le credenziali rubate.

Un grande aspirapolvere che aspira file, icone di dati e cartelle in un sacchetto tenuto da una figura in ombra. Questa immagine simboleggia il processo di raccolta di dati preziosi dalla rete di destinazione.

Il ransomware raccoglie i dati sensibili dai sistemi infetti, preparandoli per l'esfiltrazione.

Una finestra del prompt dei comandi aperta davanti a uno sfondo digitale, con la digitazione di codice dannoso. Questa rappresenta la fase in cui gli aggressori eseguono il loro payload dannoso all'interno del sistema compromesso.

Il ransomware cripta i file utilizzando la crittografia AES256, aggiungendo l'estensione ".medusa" ai file colpiti.

Una serie di file che vengono convogliati attraverso un canale nascosto da un computer a un sito cloud etichettato con un teschio, che simboleggia il trasferimento non autorizzato di dati a una posizione controllata dall'aggressore.

I dati vengono esfiltrati su server remoti controllati dagli aggressori. Questi dati vengono poi utilizzati per spingere le vittime a pagare il riscatto.

Uno schermo incrinato con dietro un paesaggio urbano digitale in preda al caos, che simboleggia l'impatto distruttivo del cyberattacco, come l'interruzione del servizio, la distruzione dei dati o la perdita finanziaria.

La fase finale prevede l'invio di una nota di riscatto, tipicamente denominata "!!read_me_medusa!!.txt", che istruisce le vittime su come pagare il riscatto per decriptare i loro file. Il gruppo utilizza un mix di crittografia RSA e AES per proteggere le transazioni di riscatto.

Accesso iniziale

Medusa in genere ottiene l'accesso sfruttando le vulnerabilità dei protocolli di desktop remoto (RDP) e impiegando campagne phishing . Utilizzano anche credenziali compromesse acquisite in vari modi.

Escalation dei privilegi

Una volta all'interno di una rete, Medusa utilizza strumenti come PsExec per elevare i privilegi e stabilire una posizione più forte all'interno del sistema.

Difesa Evasione

Il gruppo disabilita gli strumenti di sicurezza utilizzando script PowerShell e modifica le impostazioni del registro di sistema per evitare il rilevamento. Utilizza inoltre tecniche di crittografia delle stringhe per nascondere il codice dannoso.

Accesso alle credenziali

Medusa raccoglie le credenziali utilizzando vari strumenti a riga di comando e script, consentendo loro di spostarsi lateralmente attraverso la rete.

Scoperta

Eseguono un'ampia ricognizione della rete utilizzando strumenti come Netscan per identificare obiettivi di valore e raccogliere informazioni sulla topologia della rete.

Movimento laterale

Medusa utilizza strumenti e protocolli legittimi, come RDP e SMB, per spostarsi lateralmente all'interno della rete, sfruttando le credenziali rubate.

Collezione

Il ransomware raccoglie i dati sensibili dai sistemi infetti, preparandoli per l'esfiltrazione.

Esecuzione

Il ransomware cripta i file utilizzando la crittografia AES256, aggiungendo l'estensione ".medusa" ai file colpiti.

Esfiltrazione

I dati vengono esfiltrati su server remoti controllati dagli aggressori. Questi dati vengono poi utilizzati per spingere le vittime a pagare il riscatto.

Impatto

La fase finale prevede l'invio di una nota di riscatto, tipicamente denominata "!!read_me_medusa!!.txt", che istruisce le vittime su come pagare il riscatto per decriptare i loro file. Il gruppo utilizza un mix di crittografia RSA e AES per proteggere le transazioni di riscatto.

MITRE ATT&CK Mappatura

TTP utilizzate dal ransomware Medusa

Medusa Il ransomware impiega vari TTP allineati con il framework MITRE ATT&CK . Alcuni dei principali TTP includono:

TA0001: Initial Access

T1566

Phishing

T1133

External Remote Services

T1078

Valid Accounts

TA0002: Execution

T1059

Command and Scripting Interpreter

TA0003: Persistence

T1098

Account Manipulation

T1078

Valid Accounts

TA0004: Privilege Escalation

T1078

Valid Accounts

TA0005: Defense Evasion

T1112

Modify Registry

T1027

Obfuscated Files or Information

T1070

Indicator Removal

T1562

Impair Defenses

T1078

Valid Accounts

TA0006: Credential Access

T1003

OS Credential Dumping

TA0007: Discovery

T1046

Network Service Discovery

T1018

Remote System Discovery

TA0008: Lateral Movement

T1021

Remote Services

TA0009: Collection

T1115

Clipboard Data

TA0011: Command and Control

T1105

Ingress Tool Transfer

TA0010: Exfiltration

T1041

Exfiltration Over C2 Channel

TA0040: Impact

T1486

Data Encrypted for Impact

Rilevamenti della piattaforma

Come rilevare il ransomware Medusa con Vectra AI

AWS Ransomware S3 Activity

M365 Internal Spearphishing

M365 Ransomware

RDP Recon

Ransomware File Activity

Suspicious Port Scan

Visualizza altri rilevamenti

Valutare l'esposizione agli attacchi

DOMANDE FREQUENTI

Qual è il metodo principale di accesso iniziale di Medusa?

Medusa sfrutta principalmente le vulnerabilità dei protocolli di desktop remoto (RDP) e utilizza le campagne di phishing per ottenere l'accesso iniziale.

Come fa il ransomware Medusa a eludere il rilevamento?

Utilizzano script PowerShell e modificano le impostazioni del registro di sistema per disabilitare gli strumenti di sicurezza ed evitare il rilevamento.

Quali sono i settori più bersagliati dal ransomware Medusa ?

Tra i settori più bersagliati figurano l'assistenza sanitaria, l'industria manifatturiera, l'istruzione e i servizi professionali.

Quali metodi di crittografia utilizza il ransomware Medusa ?

Medusa utilizza una combinazione di crittografia RSA e AES256 per proteggere le transazioni ransomware e criptare i file delle vittime.

Come fa il ransomware Medusa a esfiltrare i dati?

I dati vengono esfiltrati su server remoti controllati dagli aggressori, in genere su canali sicuri per evitare il rilevamento.

Qual è il nome tipico delle note di riscatto utilizzate da Medusa?

La nota di riscatto è tipicamente denominata "!!!read_me_medusa!!!.txt".

Quali strumenti utilizza il ransomware Medusa per la scoperta della rete?

Medusa utilizza strumenti come Netscan per la ricognizione della rete e per identificare obiettivi di valore.

Come fa il ransomware Medusa a spostarsi lateralmente?

Utilizzano strumenti e protocolli legittimi come RDP e SMB, sfruttando le credenziali rubate per spostarsi lateralmente.

Come possono le organizzazioni proteggersi dal ransomware Medusa ?

L'implementazione di solide misure di sicurezza, come l'applicazione regolare di patch, l'utilizzo di un'autenticazione a più fattori e il monitoraggio del traffico di rete alla ricerca di attività insolite, può aiutare a proteggersi da Medusa.

Quale ruolo possono svolgere le soluzioni XDR nella difesa dal ransomware Medusa ?

Le soluzioni XDR offrono visibilità completa e capacità di risposta automatizzata, rilevando e riducendo le attività sospette su endpoint, reti e ambienti cloud .

La vostra organizzazione è al sicuro dagli attacchi di Medusa Ransomware?

Valutare l'esposizione agli attacchi