Das Forschungsteam Unit 42 hat einen neuen Forschungsbericht über die Ransomware-Bande Medusa veröffentlicht, in der die Taktiken, Tools und Verfahren der Bedrohungsakteure aufgedeckt werden.
Unit 42 stellte eine Eskalation der Medusa-Ransomware-Operationen und eine Verlagerung der Taktik in Richtung Erpressung fest, die durch die Einführung einer eigenen Leak-Site (DLS) namens Medusa Blog Anfang 2023 gekennzeichnet ist. Medusa-Bedrohungsakteure nutzen diese Website, um sensible Daten von Opfern zu veröffentlichen, die nicht bereit sind, ihre Lösegeldforderungen zu erfüllen. Als Teil ihrer Multi-Extortion-Strategie bietet diese Gruppe den Opfern mehrere Optionen an, wenn ihre Daten auf der Leak-Site veröffentlicht werden, wie etwa Zeitverlängerung, Löschung der Daten oder Download aller Daten. Alle diese Optionen haben ihren Preis, je nachdem, welche Organisation von dieser Gruppe betroffen ist.
Neben ihrer Strategie, eine Onion-Site für Erpressungen zu nutzen, setzen Medusa-Bedrohungsakteure auch einen öffentlichen Telegram-Kanal namens „Information Support“ ein, auf dem Dateien kompromittierter Organisationen öffentlich geteilt werden und leichter zugänglich sind als auf herkömmlichen Onion-Sites.
Erkenntnisse über Medusa-Ransomware
- Die Einführung des neuen Medusa-Blogs, der über TOR zugänglich ist und Anfang 2023 veröffentlicht wurde, um sensible Daten von Opfern offenzulegen, die nicht bereit sind, auf ihre Lösegeldforderungen einzugehen.
- Die Betreiber bieten den Opfern mehrere Optionen für die Zahlung des Lösegelds an, wenn ihre Daten in ihrem DLS veröffentlicht werden. Eine Standardgebühr für eine Zeitverlängerung, um die Veröffentlichung von Daten in ihrem Blog zu verhindern, beträgt beispielsweise 10.000 US-Dollar.
- Medusa ist opportunistisch und zielt auf eine breite Palette von Branchen ab, darunter Technologie, Bildung, Fertigung und Gesundheitswesen. 2023 waren davon wohl 74 Organisationen weltweit betroffen.
- Die Gruppe verbreitet ihre Ransomware vor allem durch die Ausnutzung anfälliger Dienste oder öffentlich zugänglicher Anlagen oder Anwendungen mit bekannten ungepatchten Schwachstellen und die Entführung legitimer Konten, wobei sie häufig anfängliche Zugangsvermittler für die Infiltration nutzt.
- Die Gruppe nutzt einen öffentlichen Telegram-Kanal namens „Information Support“, auf dem Dateien kompromittierter Organisationen geteilt werden und der leichter zugänglich ist als herkömmliche Onion-Seiten.
Über Palo Alto Networks Palo Alto Networks, der weltweit führende Anbieter von Cybersicherheitslösungen, gestaltet die cloudbasierte Zukunft mit Technologien, die die Arbeitsweise von Menschen und Unternehmen verändern. Unsere Mission ist es, der bevorzugte Cybersicherheitspartner zu sein und unsere digitale Lebensweise zu schützen. Wir helfen Ihnen, die größten Sicherheitsherausforderungen der Welt mit kontinuierlichen Innovationen anzugehen, die die neuesten Durchbrüche in den Bereichen künstliche Intelligenz, Analytik, Automatisierung und Orchestrierung nutzen. Durch die Bereitstellung einer integrierten Plattform und die Stärkung eines wachsenden Ökosystems von Partnern sind wir führend beim Schutz von Zehntausenden von Unternehmen über Clouds, Netzwerke und mobile Geräte hinweg. Unsere Vision ist eine Welt, in der jeder Tag sicherer ist als der vorherige.