Medusa
Il ransomware Medusa è una minaccia informatica sofisticata, nota per le sue capacità di crittografia rapida e le sue tecniche di distribuzione uniche, che prende di mira principalmente le organizzazioni di vari settori con l'obiettivo di estorcere il pagamento di un riscatto.
L'origine del ransomware Medusa
Medusa o MedusaBlog è un sofisticato gruppo di ransomware che prende attivamente di mira le organizzazioni almeno dall'inizio del 2023. Il gruppo ha acquisito notorietà per le sue capacità di crittografia rapida e per le tecniche uniche di diffusione del suo malware e sembra essere collegato a MedusaLocker. Il nome "Medusa" riflette la tendenza del gruppo a "trasformare i file in pietra", rendendoli inutilizzabili fino al pagamento di un riscatto.
Fonte: Unità42 e OCD
Obiettivi
Obiettivi di Medusa
Paesi presi di mira dal ransomware Medusa
La maggior parte degli attacchi di Medusa si è concentrata negli Stati Uniti, ma sono stati segnalati episodi significativi anche in Paesi come Regno Unito, Canada e Australia. Questa distribuzione indica una focalizzazione sui Paesi sviluppati con ampie infrastrutture digitali.
Fonte: Unità42
Industrie prese di mira dal ransomware Medusa
Il ransomware Medusa ha colpito un'ampia gamma di settori. Tra gli obiettivi di alto valore figurano l'assistenza sanitaria, l'industria manifatturiera, l'istruzione e i servizi professionali, a testimonianza della strategia del gruppo di attaccare i settori che gestiscono informazioni critiche e sensibili.
Fonte: Unità42
Industrie prese di mira dal ransomware Medusa
Il ransomware Medusa ha colpito un'ampia gamma di settori. Tra gli obiettivi di alto valore figurano l'assistenza sanitaria, l'industria manifatturiera, l'istruzione e i servizi professionali, a testimonianza della strategia del gruppo di attaccare i settori che gestiscono informazioni critiche e sensibili.
Fonte: Unità42
Le vittime del ransomware Medusa
Medusa ha preso di mira più di 235 vittime dal 2023.
Fonte: ransomware.live
Metodo di attacco
Il metodo di attacco del ransomware Medusa
In genere Medusa ottiene l'accesso sfruttando le vulnerabilità dei protocolli di desktop remoto (RDP) e impiegando campagne phishing . Utilizza anche credenziali compromesse acquisite in vari modi.
Una volta all'interno di una rete, Medusa utilizza strumenti come PsExec per elevare i privilegi e stabilire un punto d'appoggio più forte all'interno del sistema.
Il gruppo disabilita gli strumenti di sicurezza utilizzando script PowerShell e modifica le impostazioni del registro di sistema per evitare il rilevamento. Utilizza inoltre tecniche di crittografia delle stringhe per nascondere il codice dannoso.
Medusa raccoglie le credenziali utilizzando vari strumenti a riga di comando e script, consentendo loro di spostarsi lateralmente attraverso la rete.
Eseguono un'ampia ricognizione della rete utilizzando strumenti come Netscan per identificare obiettivi di valore e raccogliere informazioni sulla topologia della rete.
Medusa utilizza strumenti e protocolli legittimi, come RDP e SMB, per muoversi lateralmente all'interno della rete, sfruttando le credenziali rubate.
Il ransomware raccoglie i dati sensibili dai sistemi infetti, preparandoli per l'esfiltrazione.
Il ransomware cripta i file utilizzando la crittografia AES256, aggiungendo l'estensione ".medusa" ai file colpiti.
I dati vengono esfiltrati su server remoti controllati dagli aggressori. Questi dati vengono poi utilizzati per spingere le vittime a pagare il riscatto.
La fase finale prevede l'invio di una nota di riscatto, tipicamente denominata "!!read_me_medusa!!.txt", che istruisce le vittime su come pagare il riscatto per decriptare i loro file. Il gruppo utilizza un mix di crittografia RSA e AES per proteggere le transazioni di riscatto.
Accesso iniziale
In genere Medusa ottiene l'accesso sfruttando le vulnerabilità dei protocolli di desktop remoto (RDP) e impiegando campagne phishing . Utilizza anche credenziali compromesse acquisite in vari modi.
Escalation dei privilegi
Una volta all'interno di una rete, Medusa utilizza strumenti come PsExec per elevare i privilegi e stabilire un punto d'appoggio più forte all'interno del sistema.
Difesa Evasione
Il gruppo disabilita gli strumenti di sicurezza utilizzando script PowerShell e modifica le impostazioni del registro di sistema per evitare il rilevamento. Utilizza inoltre tecniche di crittografia delle stringhe per nascondere il codice dannoso.
Accesso alle credenziali
Medusa raccoglie le credenziali utilizzando vari strumenti a riga di comando e script, consentendo loro di spostarsi lateralmente attraverso la rete.
Scoperta
Eseguono un'ampia ricognizione della rete utilizzando strumenti come Netscan per identificare obiettivi di valore e raccogliere informazioni sulla topologia della rete.
Movimento laterale
Medusa utilizza strumenti e protocolli legittimi, come RDP e SMB, per muoversi lateralmente all'interno della rete, sfruttando le credenziali rubate.
Collezione
Il ransomware raccoglie i dati sensibili dai sistemi infetti, preparandoli per l'esfiltrazione.
Esecuzione
Il ransomware cripta i file utilizzando la crittografia AES256, aggiungendo l'estensione ".medusa" ai file colpiti.
Esfiltrazione
I dati vengono esfiltrati su server remoti controllati dagli aggressori. Questi dati vengono poi utilizzati per spingere le vittime a pagare il riscatto.
Impatto
La fase finale prevede l'invio di una nota di riscatto, tipicamente denominata "!!read_me_medusa!!.txt", che istruisce le vittime su come pagare il riscatto per decriptare i loro file. Il gruppo utilizza un mix di crittografia RSA e AES per proteggere le transazioni di riscatto.
MITRE ATT&CK Mappatura
TTP utilizzate dal ransomware Medusa
Il ransomware Medusa impiega vari TTP allineati al framework MITRE ATT&CK . Alcuni dei principali TTP includono:
TA0001: Initial Access
T1566
Phishing
T1133
External Remote Services
T1078
Valid Accounts
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
T1098
Account Manipulation
T1078
Valid Accounts
TA0004: Privilege Escalation
T1078
Valid Accounts
TA0005: Defense Evasion
T1112
Modify Registry
T1027
Obfuscated Files or Information
T1070
Indicator Removal
T1562
Impair Defenses
T1078
Valid Accounts
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
T1046
Network Service Discovery
T1018
Remote System Discovery
TA0008: Lateral Movement
T1021
Remote Services
TA0009: Collection
T1115
Clipboard Data
TA0011: Command and Control
T1105
Ingress Tool Transfer
TA0010: Exfiltration
T1041
Exfiltration Over C2 Channel
TA0040: Impact
T1486
Data Encrypted for Impact
Rilevamenti della piattaforma
Come rilevare il ransomware Medusa con Vectra AI
DOMANDE FREQUENTI
Qual è il metodo principale di accesso iniziale di Medusa?
Medusa sfrutta principalmente le vulnerabilità dei protocolli di desktop remoto (RDP) e utilizza le campagne phishing per ottenere l'accesso iniziale.
Come fa il ransomware Medusa a eludere il rilevamento?
Utilizzano script PowerShell e modificano le impostazioni del registro di sistema per disabilitare gli strumenti di sicurezza ed evitare il rilevamento.
Quali sono i settori più bersagliati dal ransomware Medusa?
Tra i settori più bersagliati figurano l'assistenza sanitaria, l'industria manifatturiera, l'istruzione e i servizi professionali.
Quali metodi di crittografia utilizza il ransomware Medusa?
Medusa utilizza una combinazione di crittografia RSA e AES256 per proteggere le proprie transazioni ransomware e criptare i file delle vittime.
Come fa il ransomware Medusa a esfiltrare i dati?
I dati vengono esfiltrati su server remoti controllati dagli aggressori, in genere su canali sicuri per evitare il rilevamento.
Qual è il nome tipico delle note di riscatto utilizzate da Medusa?
La nota di riscatto è tipicamente denominata "!!!read_me_medusa!!!.txt".
Quali strumenti utilizza il ransomware Medusa per la scoperta della rete?
Medusa utilizza strumenti come Netscan per la ricognizione della rete e per identificare obiettivi di valore.
Come fa il ransomware Medusa a spostarsi lateralmente?
Utilizzano strumenti e protocolli legittimi come RDP e SMB, sfruttando le credenziali rubate per spostarsi lateralmente.
Come possono le organizzazioni proteggersi dal ransomware Medusa?
L'implementazione di solide misure di sicurezza, come l'applicazione regolare di patch, l'utilizzo dell'autenticazione a più fattori e il monitoraggio del traffico di rete alla ricerca di attività insolite, può contribuire a proteggere da Medusa.
Quale ruolo possono svolgere le soluzioni XDR nella difesa dal ransomware Medusa?
Le soluzioni XDR offrono visibilità completa e capacità di risposta automatizzata, rilevando e riducendo le attività sospette su endpoint, reti e ambienti cloud .