Come gli aggressori usano Shodan e FOFA

Come gli aggressori usano Shodan e FOFA

Vectra AI Giappone, ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Icona dell'hamburger in alto
Icona dell'hamburger linea centrale
Icona dell'hamburger linea di fondo
  1. cybercriminels
    >
  2. Gruppo Ransomware

Medusa

Medusa Il ransomware è una sofisticata minaccia informatica nota per le sue rapide capacità di crittografia e per le sue tecniche di distribuzione uniche, che prende di mira principalmente le organizzazioni di vari settori con l'obiettivo di estorcere il pagamento di un riscatto.

Rilevare i TTP di Medusa
La vostra organizzazione è al sicuro dagli attacchi di Medusa Ransomware?
Contesto e obiettivi
TTP
Mappatura MITRE
Rilevamento
DOMANDE FREQUENTI
Guarda il Briefing sulle minacce
CONTESTO
PAESI
INDUSTRIE
VITTIME

L'origine del ransomware Medusa

Medusa o MedusaBlog è un sofisticato gruppo di ransomware che prende attivamente di mira le organizzazioni almeno dall'inizio del 2023. Il gruppo ha acquisito notorietà per le sue capacità di crittografia rapida e per le sue tecniche uniche di diffusione di malware e sembra essere collegato a MedusaLocker. Il nome "Medusa" riflette la tendenza del gruppo a "trasformare i file in pietra", rendendoli inutilizzabili fino al pagamento di un riscatto.

Fonte: OCD

Paesi presi di mira dal ransomware Medusa

La maggior parte degli attacchi di Medusa si è concentrata negli Stati Uniti, ma sono stati segnalati incidenti significativi anche in Paesi come Regno Unito, Canada e Australia. Questa distribuzione indica una focalizzazione sui Paesi sviluppati con ampie infrastrutture digitali.

Fonte: Unità42

I settori presi di mira dal ransomware Medusa

Medusa Il ransomware ha colpito un'ampia gamma di settori. Tra gli obiettivi di alto valore figurano l'assistenza sanitaria, l'industria manifatturiera, l'istruzione e i servizi professionali, a testimonianza della strategia del gruppo di attaccare i settori che gestiscono informazioni critiche e sensibili.

Fonte: Unità42

Healthcare

Manufacturing

Higher Education

Medusa vittime del ransomware

Medusa ha preso di mira più di 235 vittime dal 2023.

Fonte: ransomware.live

Metodo di attacco

Medusa Il metodo di attacco del ransomware

Accesso iniziale
Escalation dei privilegi
Difesa Evasione
Accesso alle credenziali
Scoperta
Movimento laterale
Collezione
Esecuzione
Esfiltrazione
Impatto
Una figura ombrosa che getta un'ampia rete su un paesaggio digitale pieno di vari dispositivi come computer, smartphone e tablet. La rete simboleggia i tentativi dell'attaccante di trovare vulnerabilità o di utilizzare le tecniche di phishing per ottenere un accesso non autorizzato.

Medusa in genere ottiene l'accesso sfruttando le vulnerabilità dei protocolli di desktop remoto (RDP) e impiegando campagne phishing . Utilizzano anche credenziali compromesse acquisite in vari modi.

Una scala digitale che si estende verso l'alto da un'icona utente di base verso una corona che simboleggia i privilegi amministrativi. Questo rappresenta gli sforzi dell'attaccante per ottenere un accesso di livello superiore all'interno del sistema.

Una volta all'interno di una rete, Medusa utilizza strumenti come PsExec per elevare i privilegi e stabilire una posizione più forte all'interno del sistema.

Un camaleonte che si mimetizza in uno sfondo digitale, con zeri e uno che gli scorrono intorno. Questo rappresenta la capacità dell'attaccante di evitare il rilevamento da parte delle misure di sicurezza, cambiando tattica per confondersi con il normale traffico di rete.

Il gruppo disabilita gli strumenti di sicurezza utilizzando script PowerShell e modifica le impostazioni del registro di sistema per evitare il rilevamento. Utilizza inoltre tecniche di crittografia delle stringhe per nascondere il codice dannoso.

Un ladro con un kit di grimaldelli che lavora su un buco della serratura gigante a forma di modulo di login, che rappresenta gli sforzi dell'attaccante di rubare le credenziali dell'utente per ottenere un accesso non autorizzato.

Medusa raccoglie le credenziali utilizzando vari strumenti a riga di comando e script, consentendo loro di spostarsi lateralmente attraverso la rete.

Una lente di ingrandimento che si muove su una mappa digitale di una rete, evidenziando file, cartelle e connessioni di rete. Questa immagine rappresenta la fase in cui gli aggressori esplorano l'ambiente per capire la struttura e dove risiedono i dati preziosi.

Eseguono un'ampia ricognizione della rete utilizzando strumenti come Netscan per identificare obiettivi di valore e raccogliere informazioni sulla topologia della rete.

Una serie di nodi interconnessi con una figura oscura che si muove furtivamente tra di essi. Questo illustra i movimenti dell'attaccante all'interno della rete, che cerca di ottenere il controllo di altri sistemi o di diffondere malware.

Medusa utilizza strumenti e protocolli legittimi, come RDP e SMB, per spostarsi lateralmente all'interno della rete, sfruttando le credenziali rubate.

Un grande aspirapolvere che aspira file, icone di dati e cartelle in un sacchetto tenuto da una figura in ombra. Questa immagine simboleggia il processo di raccolta di dati preziosi dalla rete di destinazione.

Il ransomware raccoglie i dati sensibili dai sistemi infetti, preparandoli per l'esfiltrazione.

Una finestra del prompt dei comandi aperta davanti a uno sfondo digitale, con la digitazione di codice dannoso. Questa rappresenta la fase in cui gli aggressori eseguono il loro payload dannoso all'interno del sistema compromesso.

Il ransomware cripta i file utilizzando la crittografia AES256, aggiungendo l'estensione ".medusa" ai file colpiti.

Una serie di file che vengono convogliati attraverso un canale nascosto da un computer a un sito cloud etichettato con un teschio, che simboleggia il trasferimento non autorizzato di dati a una posizione controllata dall'aggressore.

I dati vengono esfiltrati su server remoti controllati dagli aggressori. Questi dati vengono poi utilizzati per spingere le vittime a pagare il riscatto.

Uno schermo incrinato con dietro un paesaggio urbano digitale in preda al caos, che simboleggia l'impatto distruttivo del cyberattacco, come l'interruzione del servizio, la distruzione dei dati o la perdita finanziaria.

La fase finale prevede l'invio di una nota di riscatto, tipicamente denominata "!!read_me_medusa!!.txt", che istruisce le vittime su come pagare il riscatto per decriptare i loro file. Il gruppo utilizza un mix di crittografia RSA e AES per proteggere le transazioni di riscatto.

Una figura ombrosa che getta un'ampia rete su un paesaggio digitale pieno di vari dispositivi come computer, smartphone e tablet. La rete simboleggia i tentativi dell'attaccante di trovare vulnerabilità o di utilizzare le tecniche di phishing per ottenere un accesso non autorizzato.
Accesso iniziale

Medusa in genere ottiene l'accesso sfruttando le vulnerabilità dei protocolli di desktop remoto (RDP) e impiegando campagne phishing . Utilizzano anche credenziali compromesse acquisite in vari modi.

Una scala digitale che si estende verso l'alto da un'icona utente di base verso una corona che simboleggia i privilegi amministrativi. Questo rappresenta gli sforzi dell'attaccante per ottenere un accesso di livello superiore all'interno del sistema.
Escalation dei privilegi

Una volta all'interno di una rete, Medusa utilizza strumenti come PsExec per elevare i privilegi e stabilire una posizione più forte all'interno del sistema.

Un camaleonte che si mimetizza in uno sfondo digitale, con zeri e uno che gli scorrono intorno. Questo rappresenta la capacità dell'attaccante di evitare il rilevamento da parte delle misure di sicurezza, cambiando tattica per confondersi con il normale traffico di rete.
Difesa Evasione

Il gruppo disabilita gli strumenti di sicurezza utilizzando script PowerShell e modifica le impostazioni del registro di sistema per evitare il rilevamento. Utilizza inoltre tecniche di crittografia delle stringhe per nascondere il codice dannoso.

Un ladro con un kit di grimaldelli che lavora su un buco della serratura gigante a forma di modulo di login, che rappresenta gli sforzi dell'attaccante di rubare le credenziali dell'utente per ottenere un accesso non autorizzato.
Accesso alle credenziali

Medusa raccoglie le credenziali utilizzando vari strumenti a riga di comando e script, consentendo loro di spostarsi lateralmente attraverso la rete.

Una lente di ingrandimento che si muove su una mappa digitale di una rete, evidenziando file, cartelle e connessioni di rete. Questa immagine rappresenta la fase in cui gli aggressori esplorano l'ambiente per capire la struttura e dove risiedono i dati preziosi.
Scoperta

Eseguono un'ampia ricognizione della rete utilizzando strumenti come Netscan per identificare obiettivi di valore e raccogliere informazioni sulla topologia della rete.

Una serie di nodi interconnessi con una figura oscura che si muove furtivamente tra di essi. Questo illustra i movimenti dell'attaccante all'interno della rete, che cerca di ottenere il controllo di altri sistemi o di diffondere malware.
Movimento laterale

Medusa utilizza strumenti e protocolli legittimi, come RDP e SMB, per spostarsi lateralmente all'interno della rete, sfruttando le credenziali rubate.

Un grande aspirapolvere che aspira file, icone di dati e cartelle in un sacchetto tenuto da una figura in ombra. Questa immagine simboleggia il processo di raccolta di dati preziosi dalla rete di destinazione.
Collezione

Il ransomware raccoglie i dati sensibili dai sistemi infetti, preparandoli per l'esfiltrazione.

Una finestra del prompt dei comandi aperta davanti a uno sfondo digitale, con la digitazione di codice dannoso. Questa rappresenta la fase in cui gli aggressori eseguono il loro payload dannoso all'interno del sistema compromesso.
Esecuzione

Il ransomware cripta i file utilizzando la crittografia AES256, aggiungendo l'estensione ".medusa" ai file colpiti.

Una serie di file che vengono convogliati attraverso un canale nascosto da un computer a un sito cloud etichettato con un teschio, che simboleggia il trasferimento non autorizzato di dati a una posizione controllata dall'aggressore.
Esfiltrazione

I dati vengono esfiltrati su server remoti controllati dagli aggressori. Questi dati vengono poi utilizzati per spingere le vittime a pagare il riscatto.

Uno schermo incrinato con dietro un paesaggio urbano digitale in preda al caos, che simboleggia l'impatto distruttivo del cyberattacco, come l'interruzione del servizio, la distruzione dei dati o la perdita finanziaria.
Impatto

La fase finale prevede l'invio di una nota di riscatto, tipicamente denominata "!!read_me_medusa!!.txt", che istruisce le vittime su come pagare il riscatto per decriptare i loro file. Il gruppo utilizza un mix di crittografia RSA e AES per proteggere le transazioni di riscatto.

MITRE ATT&CK Mappatura

TTP utilizzate dal ransomware Medusa

TA0001: Initial Access
T1566
Phishing
T1133
External Remote Services
T1078
Valid Accounts
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
T1098
Account Manipulation
T1078
Valid Accounts
TA0004: Privilege Escalation
T1078
Valid Accounts
TA0005: Defense Evasion
T1112
Modify Registry
T1027
Obfuscated Files or Information
T1070
Indicator Removal
T1562
Impair Defenses
T1078
Valid Accounts
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
T1046
Network Service Discovery
T1018
Remote System Discovery
TA0008: Lateral Movement
T1021
Remote Services
TA0009: Collection
T1115
Clipboard Data
TA0011: Command and Control
T1105
Ingress Tool Transfer
TA0010: Exfiltration
T1041
Exfiltration Over C2 Channel
TA0040: Impact
T1486
Data Encrypted for Impact
Rilevamenti della piattaforma

Come rilevare il ransomware Medusa con Vectra AI

AWS Ransomware S3 Activity

M365 Internal Spearphishing

M365 Ransomware

RDP Recon

Ransomware File Activity

Suspicious Port Scan

Visualizza altri rilevamenti
Valutare l'esposizione agli attacchi

DOMANDE FREQUENTI

Qual è il metodo principale di accesso iniziale di Medusa?

Medusa sfrutta principalmente le vulnerabilità dei protocolli di desktop remoto (RDP) e utilizza le campagne di phishing per ottenere l'accesso iniziale.

Come fa il ransomware Medusa a eludere il rilevamento?

Utilizzano script PowerShell e modificano le impostazioni del registro di sistema per disabilitare gli strumenti di sicurezza ed evitare il rilevamento.

Quali sono i settori più bersagliati dal ransomware Medusa ?

Tra i settori più bersagliati figurano l'assistenza sanitaria, l'industria manifatturiera, l'istruzione e i servizi professionali.

Quali metodi di crittografia utilizza il ransomware Medusa ?

Medusa utilizza una combinazione di crittografia RSA e AES256 per proteggere le transazioni ransomware e criptare i file delle vittime.

Come fa il ransomware Medusa a esfiltrare i dati?

I dati vengono esfiltrati su server remoti controllati dagli aggressori, in genere su canali sicuri per evitare il rilevamento.

Qual è il nome tipico delle note di riscatto utilizzate da Medusa?

La nota di riscatto è tipicamente denominata "!!!read_me_medusa!!!.txt".

Quali strumenti utilizza il ransomware Medusa per la scoperta della rete?

Medusa utilizza strumenti come Netscan per la ricognizione della rete e per identificare obiettivi di valore.

Come fa il ransomware Medusa a spostarsi lateralmente?

Utilizzano strumenti e protocolli legittimi come RDP e SMB, sfruttando le credenziali rubate per spostarsi lateralmente.

Come possono le organizzazioni proteggersi dal ransomware Medusa ?

L'implementazione di solide misure di sicurezza, come l'applicazione regolare di patch, l'utilizzo di un'autenticazione a più fattori e il monitoraggio del traffico di rete alla ricerca di attività insolite, può aiutare a proteggersi da Medusa.

Quale ruolo possono svolgere le soluzioni XDR nella difesa dal ransomware Medusa ?

Le soluzioni XDR offrono visibilità completa e capacità di risposta automatizzata, rilevando e riducendo le attività sospette su endpoint, reti e ambienti cloud .

La vostra organizzazione è al sicuro dagli attacchi di Medusa Ransomware?

Valutare l'esposizione agli attacchi