To Medusa ransomware, μια επιχείρηση ransomware-as-a-service (RaaS), έχει επηρεάσει περισσότερους από 300 οργανισμούς σε κρίσιμους τομείς υποδομών στις Ηνωμένες Πολιτείες μέχρι τον Φεβρουάριο του 2025. Αυτό αποκαλύφθηκε σε κοινή συμβουλευτική ανακοίνωση που εκδόθηκε από την Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA), το Ομοσπονδιακό Γραφείο Ερευνών (FBI) και το Κέντρο Πολυκρατικής Πληροφόρησης και Ανάλυσης (MS-ISAC) στις 12 Μαρτίου 2025.
Εξέλιξη της Medusa ransomware
To Medusa ransomware εμφανίστηκε για πρώτη φορά τον Ιανουάριο του 2021 ως μια κλειστή παραλλαγή ransomware, όπου μια ομάδα απειλητικών παραγόντων διαχειριζόταν όλη την ανάπτυξη και τις επιχειρήσεις. Ωστόσο, η δραστηριότητα της ομάδας αυξήθηκε σημαντικά το 2023, όταν εγκαινίασε τον ιστότοπο διαρροών Medusa Blog για να πιέσει τα θύματα να πληρώσουν λύτρα, χρησιμοποιώντας τα κλεμμένα δεδομένα ως μοχλό πίεσης. Έκτοτε, το Medusa εξελίχθηκε σε μια επιχείρηση RaaS, υιοθετώντας ένα μοντέλο συνεργατών, με τους προγραμματιστές της να συνεχίζουν να επιβλέπουν βασικές λειτουργίες, συμπεριλαμβανομένων των διαπραγματεύσεων λύτρων.
Μέθοδοι επίθεσης και τεχνικές
Οι προγραμματιστές του Medusa συνήθως προσλαμβάνουν αρχικούς διαμεσολαβητές πρόσβασης (IABs) σε κυβερνοεγκληματικά φόρουμ και αγορές για να αποκτήσουν αρχική πρόσβαση σε πιθανά θύματα. Προσφέρονται πιθανά πληρωμές μεταξύ 100 και 1 εκατομμυρίου δολαρίων σε αυτούς τους συνεργάτες, με την ευκαιρία να εργαστούν αποκλειστικά για το Medusa. Οι IABs του Medusa χρησιμοποιούν κοινές τεχνικές, όπως εκστρατείες phishing για την κλοπή διαπιστευτηρίων θυμάτων και εκμετάλλευση μη ενημερωμένων ευπαθειών λογισμικού μέσω γνωστών ευπαθειών, όπως η ευπάθεια ScreenConnect CVE-2024-1709 και η ευπάθεια SQL injection της Fortinet EMS CVE-2023-48788.
Αφού αποκτήσουν πρόσβαση, οι επιτιθέμενοι χρησιμοποιούν εργαλεία όπως το PowerShell και το Windows Command Prompt για αναγνώριση δικτύου και συστήματος, καθώς και για μεταφορά εργαλείων εισόδου. Χρησιμοποιούν επίσης τεχνικές απόκρυψης, όπως η εκτέλεση κωδικοποιημένων εντολών base64 και η διαγραφή του ιστορικού γραμμής εντολών του PowerShell για να καλύψουν τα ίχνη τους. Για πλευρική κίνηση και εκτέλεση, χρησιμοποιούν νόμιμο λογισμικό απομακρυσμένης πρόσβασης, όπως το SimpleHelp ή το AnyDesk, για περαιτέρω πρόσβαση και λήψη προγραμμάτων οδήγησης. Επιπλέον, χρησιμοποιούν την τεχνική “Bring Your Own Vulnerable Driver” (BYOVD) για να απενεργοποιήσουν το λογισμικό ασφαλείας και να αποφύγουν την ανίχνευση.
Αύξηση των επιθέσεων Medusa ransomware
Οι επιθέσεις του Medusa ransomware αυξήθηκαν κατά 42% μεταξύ 2023 και 2024. Αυτή η αύξηση της δραστηριότητας συνεχίζει να κλιμακώνεται, με σχεδόν διπλάσιες επιθέσεις Medusa να παρατηρούνται τον Ιανουάριο και τον Φεβρουάριο του 2025 σε σύγκριση με τους πρώτους δύο μήνες του 2024. Η ομάδα έχει καταγράψει σχεδόν 400 θύματα παγκοσμίως από τότε που έγινε ενεργή στις αρχές του 2023.
Προτεινόμενα μέτρα άμυνας
Για να αμυνθούν ενάντια στις επιθέσεις του Medusa ransomware, οι οργανισμοί συνιστάται να λάβουν τα ακόλουθα μέτρα:
- Ενημέρωση ευπαθειών ασφαλείας: Διασφαλίστε ότι τα λειτουργικά συστήματα, το λογισμικό και το υλικολογισμικό είναι ενημερωμένα εντός ενός λογικού χρονικού πλαισίου.
- Διαχωρισμός δικτύων: Περιορίστε την πλευρική κίνηση μεταξύ μολυσμένων συσκευών και άλλων συσκευών εντός του οργανισμού.
- Φιλτράρισμα δικτυακής κυκλοφορίας: Αποκλείστε την πρόσβαση από άγνωστες ή μη αξιόπιστες προελεύσεις σε απομακρυσμένες υπηρεσίες σε εσωτερικά συστήματα.
Συμπέρασμα
Το Medusa ransomware αποτελεί μια αυξανόμενη απειλή για τους οργανισμούς κρίσιμων υποδομών, με τις επιθέσεις της να αυξάνονται σημαντικά τα τελευταία χρόνια. Οι κυβερνοεγκληματίες συνεχίζουν να εξελίσσουν τις τακτικές τους, καθιστώντας απαραίτητη την ενίσχυση της κυβερνοασφάλειας. Η συνεργασία μεταξύ δημόσιου και ιδιωτικού τομέα, η τακτική εκπαίδευση του προσωπικού και η υιοθέτηση ισχυρών πρακτικών ασφαλείας μπορούν να συμβάλουν στην αποτροπή των επιθέσεων και στον περιορισμό των επιπτώσεών τους.
Πηγές: Cisa, BleepingComputer, Security
