Vorgehensweise der Medusa Ransomware

B2B Cyber Security ShortNews

Beitrag teilen

Das Forschungsteam Unit 42 hat einen neuen Forschungsbericht über die Ransomware-Bande Medusa veröffentlicht, in der die Taktiken, Tools und Verfahren der Bedrohungsakteure aufgedeckt werden.

Unit 42 stellte eine Eskalation der Medusa-Ransomware-Operationen und eine Verlagerung der Taktik in Richtung Erpressung fest, die durch die Einführung einer eigenen Leak-Site (DLS) namens Medusa Blog Anfang 2023 gekennzeichnet ist. Medusa-Bedrohungsakteure nutzen diese Website, um sensible Daten von Opfern zu veröffentlichen, die nicht bereit sind, ihre Lösegeldforderungen zu erfüllen. Als Teil ihrer Multi-Extortion-Strategie bietet diese Gruppe den Opfern mehrere Optionen an, wenn ihre Daten auf der Leak-Site veröffentlicht werden, wie etwa Zeitverlängerung, Löschung der Daten oder Download aller Daten. Alle diese Optionen haben ihren Preis, je nachdem, welche Organisation von dieser Gruppe betroffen ist.

Anzeige

Neben ihrer Strategie, eine Onion-Site für Erpressungen zu nutzen, setzen Medusa-Bedrohungsakteure auch einen öffentlichen Telegram-Kanal namens „Information Support“ ein, auf dem Dateien kompromittierter Organisationen öffentlich geteilt werden und leichter zugänglich sind als auf herkömmlichen Onion-Sites.

Erkenntnisse über Medusa-Ransomware

  • Die Einführung des neuen Medusa-Blogs, der über TOR zugänglich ist und Anfang 2023 veröffentlicht wurde, um sensible Daten von Opfern offenzulegen, die nicht bereit sind, auf ihre Lösegeldforderungen einzugehen.
  • Die Betreiber bieten den Opfern mehrere Optionen für die Zahlung des Lösegelds an, wenn ihre Daten in ihrem DLS veröffentlicht werden. Eine Standardgebühr für eine Zeitverlängerung, um die Veröffentlichung von Daten in ihrem Blog zu verhindern, beträgt beispielsweise 10.000 US-Dollar.
  • Medusa ist opportunistisch und zielt auf eine breite Palette von Branchen ab, darunter Technologie, Bildung, Fertigung und Gesundheitswesen. 2023 waren davon wohl 74 Organisationen weltweit betroffen.
  • Die Gruppe verbreitet ihre Ransomware vor allem durch die Ausnutzung anfälliger Dienste oder öffentlich zugänglicher Anlagen oder Anwendungen mit bekannten ungepatchten Schwachstellen und die Entführung legitimer Konten, wobei sie häufig anfängliche Zugangsvermittler für die Infiltration nutzt.
  • Die Gruppe nutzt einen öffentlichen Telegram-Kanal namens „Information Support“, auf dem Dateien kompromittierter Organisationen geteilt werden und der leichter zugänglich ist als herkömmliche Onion-Seiten.
Mehr bei PaloAltoNetworks.com

 


Über Palo Alto Networks

Palo Alto Networks, der weltweit führende Anbieter von Cybersicherheitslösungen, gestaltet die cloudbasierte Zukunft mit Technologien, die die Arbeitsweise von Menschen und Unternehmen verändern. Unsere Mission ist es, der bevorzugte Cybersicherheitspartner zu sein und unsere digitale Lebensweise zu schützen. Wir helfen Ihnen, die größten Sicherheitsherausforderungen der Welt mit kontinuierlichen Innovationen anzugehen, die die neuesten Durchbrüche in den Bereichen künstliche Intelligenz, Analytik, Automatisierung und Orchestrierung nutzen. Durch die Bereitstellung einer integrierten Plattform und die Stärkung eines wachsenden Ökosystems von Partnern sind wir führend beim Schutz von Zehntausenden von Unternehmen über Clouds, Netzwerke und mobile Geräte hinweg. Unsere Vision ist eine Welt, in der jeder Tag sicherer ist als der vorherige.


 

Passende Artikel zum Thema

Microsoft Patchday: Über 1.000 Sicherheitsupdates im Februar 2025  

Vom 6. bis 11. Februar hat Microsoft zum Patchday 1.212 Hinweise und Sicherheitsupdates für seine Services und Systeme bereitgestellt. Darunter ➡ Weiterlesen

Backdoor in Überwachungsmonitor als Schwachstelle eingestuft

Am 30. Januar veröffentlichte die US-amerikanische Cybersicherheitsbehörde CISA eine Warnung zu einer Backdoor in medizinischen Überwachungsmonitoren, die durch eine Benachrichtigung ➡ Weiterlesen

ENISA-Bericht: DoS-und DDoS-Angriffe auf Platz eins

ENISA, die Agentur für Cybersicherheit der EU, hat Cybervorfälle von 2023 bis 2024 analysiert. DDoS-Angriffe gehören mit über 40 Prozent ➡ Weiterlesen

Endpoint: Unternehmenslösungen im Test gegen Ransomware

Das AV-TEST Institut hat 8 Security-Lösungen für Unternehmen in einem erweiterten Test untersucht. Dabei stand nicht die massenhafte Erkennung von ➡ Weiterlesen

Cyberkriminelle: Skepsis gegenüber KI – Hoffnung bei DeepSeek

Eine Untersuchung von Sophos X-Ops in ausgewählten Cybercrime-Foren ergab, dass Bedrohungsakteure die KI nach wie vor nicht intensiv für ihre ➡ Weiterlesen

Report: Gemini wird von staatlichen Hackergruppen missbraucht 

Die Google Threat Intelligence Group (GTIG) zeigt in einem Bericht, dass besonders iranische, chinesische, nordkoreanische und russische Hackergruppen auf die ➡ Weiterlesen

BKA sprengt Hackerportale mit zehn Millionen Nutzern

In der gemeinsamen Operation Talent hat die ZIT und das BKA als deutsche Beteiligung gleich zwei Hackerportale mit Cracking- & ➡ Weiterlesen

Cyberangriffe: Diese Schwachstellen sind Hauptziele

Durch die Analyse von vielen, weltweiten Cybervorfällen war es möglich die drei größten Schwachstellen zu identifizieren: Dazu gehören ineffizientes Schwachstellenmanagement, ➡ Weiterlesen