Участники угроз, связанные с программой-вымогателем Medusa, активизировали свою деятельность после запуска в феврале 2023 года специального сайта по утечке данных в dark web для публикации конфиденциальных данных жертв, которые не желают соглашаться с их требованиями.
"В рамках своей стратегии множественного вымогательства эта группа предоставит жертвам множество вариантов, когда их данные будут размещены на их сайте утечки, таких как продление времени, удаление данных или загрузка всех данных", - сказали исследователи из подразделения Palo Alto Networks 42 Энтони Галиетт и Доэл Сантос в отчете, опубликованном The Hacker News.
"Цена всех этих опций зависит от организации, на которую воздействует эта группа".
Medusa (не путать с Medusa Locker) относится к семейству программ-вымогателей, которые появились в конце 2022 года, а затем приобрели известность в 2023 году. Она известна тем, что оппортунистически нацелена на широкий спектр отраслей, таких как высокие технологии, образование, производство, здравоохранение и розничная торговля.
По оценкам, в 2023 году программа-вымогатель затронула 74 организации, в основном в США, Великобритании, Франции, Италии, Испании и Индии.
Организованные группой атаки программ-вымогателей начинаются с использования интернет-ресурсов или приложений с известными незащищенными уязвимостями и захвата законных учетных записей, часто с использованием брокеров начального доступа для получения плацдарма в целевых сетях.
В одном случае, замеченном фирмой по кибербезопасности, сервер Microsoft Exchange был использован для загрузки веб-оболочки, которая затем использовалась в качестве канала для установки и запуска программного обеспечения удаленного мониторинга и управления ConnectWise (RMM).
Примечательным аспектом заражений является использование методов, позволяющих жить за пределами страны (LotL), чтобы сочетаться с законной деятельностью и избегать обнаружения. Также наблюдается использование пары драйверов ядра для завершения работы жестко запрограммированного списка продуктов безопасности.
За начальным этапом доступа следует обнаружение и разведка скомпрометированной сети, при этом участники в конечном итоге запускают программу-вымогатель для перечисления и шифрования всех файлов, за исключением файлов с расширениями .dll, .exe, .lnk и .medusa (расширение, присваиваемое зашифрованным файлам).
Для каждой скомпрометированной жертвы на сайте утечки Medusa отображается информация об организациях, требуемом выкупе, количестве времени, оставшемся до публичного обнародования украденных данных, и количестве просмотров в попытке оказать давление на компанию.
Участники также предлагают жертве различные варианты, каждый из которых включает в себя ту или иную форму вымогательства для удаления или загрузки украденных данных и получения отсрочки для предотвращения разглашения данных.
Поскольку программа-вымогатель продолжает оставаться безудержной угрозой, нацеленной на технологические компании, здравоохранение, критически важную инфраструктуру и все, что между ними, стоящие за ней злоумышленники становятся все более наглыми в своей тактике, выходя за рамки публичного наименования и позора организаций, прибегая к угрозам физического насилия и даже выделенным каналам по связям с общественностью.
"Программы-вымогатели изменили многие аспекты ландшафта угроз, но ключевым событием последнего времени является их растущая коммерциализация и профессионализация", - заявили исследователи Sophos в прошлом месяце, назвав банды вымогателей "все более подкованными в средствах массовой информации".
У Medusa, согласно 42-му подразделению, есть не только команда СМИ, которая, вероятно, занимается их брендингом, но и использует общедоступный Telegram-канал под названием "информационная поддержка", где публикуются файлы скомпрометированных организаций, и к ним можно получить доступ через clearnet. Канал был создан в июле 2021 года.
"Появление программы-вымогателя Medusa в конце 2022 года и ее дурная слава в 2023 году знаменуют значительное развитие в мире программ-вымогателей", - заявили исследователи. "Эта операция демонстрирует сложные методы распространения, используя как системные уязвимости, так и посредников первоначального доступа, в то же время умело избегая обнаружения с помощью методов "проживания вне земли"".
Это произошло после того, как Arctic Wolf Labs обнародовала два случая, когда жертвы банд вымогателей Akira и Royal стали мишенью злоумышленников, выдававших себя за исследователей безопасности, для вторичных попыток вымогательства.
"Участники угрозы раскрутили историю о попытках помочь организациям-жертвам, предлагая взломать серверную инфраструктуру первоначальных групп программ-вымогателей, задействованных для удаления отфильтрованных данных", - сказали исследователи безопасности Стефан Хостетлер и Стивен Кэмпбелл, отметив, что злоумышленник запросил около 5 биткоинов в обмен на услугу.
Это также следует из новой рекомендации Национального центра кибербезопасности Финляндии (NCSC-FI) о резком росте числа инцидентов с программой-вымогателем Akira в стране к концу 2023 года из-за использования уязвимости безопасности в устройствах Cisco VPN (CVE-2023-20269, оценка CVSS: 5.0) для взлома внутренних организаций.
