L'équipe de recherche Unit 42 a publié un nouveau rapport de recherche sur le gang du ransomware Medusa, révélant les tactiques, outils et procédures des acteurs de la menace.
L’unité 42 a noté une escalade des opérations du ransomware Medusa et un changement de tactique vers l’extorsion, marqué par le lancement d’un site de fuite dédié (DLS) appelé Medusa Blog début 2023. Les acteurs de la menace Medusa utilisent ce site Web pour publier des données sensibles sur des victimes qui ne souhaitent pas répondre à leurs demandes de rançon. Dans le cadre de sa stratégie multi-extorsion, ce groupe offre aux victimes plusieurs options lorsque leurs données sont publiées sur le site de fuite, comme la prolongation du délai, la suppression des données ou le téléchargement de toutes les données. Toutes ces options ont un prix selon l’organisation concernée par ce groupe.
En plus de leur stratégie consistant à utiliser un site oignon à des fins d'extorsion, les acteurs de la menace Medusa déploient également un canal Telegram public appelé « Information Support », où les fichiers des organisations compromises sont partagés publiquement et sont plus facilement accessibles que sur les sites oignon traditionnels.
Aperçu du rançongiciel Medusa
- Présentation du nouveau blog Medusa, accessible via TOR et publié début 2023 pour exposer les données sensibles des victimes qui ne veulent pas répondre à leurs demandes de rançon.
- Les opérateurs proposent aux victimes plusieurs options pour payer la rançon si leurs données sont publiées sur leur DLS. Par exemple, les frais standard pour une prolongation de délai visant à empêcher la publication de données sur leur blog s'élèvent à 10.000 XNUMX $.
- Médusa est opportuniste et cible un large éventail d'industries, notamment la technologie, l'éducation, l'industrie manufacturière et la santé. En 2023, 74 organisations dans le monde ont été concernées.
- Le groupe diffuse son ransomware principalement en exploitant des services vulnérables ou des actifs ou applications accessibles au public présentant des vulnérabilités connues non corrigées et en détournant des comptes légitimes, en utilisant souvent des intermédiaires d'accès initial à des fins d'infiltration.
- Le groupe utilise une chaîne publique Telegram appelé « Information Support », qui partage des fichiers provenant d’organisations compromises et est plus accessible que les sites oignon traditionnels.
À propos des réseaux de Palo Alto Palo Alto Networks, le leader mondial des solutions de cybersécurité, façonne l'avenir basé sur le cloud avec des technologies qui transforment la façon dont les gens et les entreprises travaillent. Notre mission est d'être le partenaire privilégié en matière de cybersécurité et de protéger notre mode de vie numérique. Nous vous aidons à relever les plus grands défis de sécurité au monde grâce à une innovation continue tirant parti des dernières avancées en matière d'intelligence artificielle, d'analyse, d'automatisation et d'orchestration. En fournissant une plate-forme intégrée et en renforçant un écosystème croissant de partenaires, nous sommes les leaders dans la protection de dizaines de milliers d'entreprises sur les clouds, les réseaux et les appareils mobiles. Notre vision est un monde où chaque jour est plus sûr que le précédent.