Medusa

Medusa ransomware ist eine ausgeklügelte Cyber-Bedrohung, die für ihre schnellen Verschlüsselungsfähigkeiten und einzigartigen Einsatztechniken bekannt ist und in erster Linie auf Organisationen in verschiedenen Branchen abzielt, um Lösegeldzahlungen zu erpressen.

Ist Ihr Unternehmen vor den Angriffen von Medusa Ransomware sicher?

Der Ursprung der Medusa ransomware

Medusa oder MedusaBlog ist eine ausgeklügelte ransomware Gruppe, die seit mindestens Anfang 2023 aktiv Organisationen angreift. Die Gruppe ist für ihre schnellen Verschlüsselungsfähigkeiten und einzigartigen Techniken zur Verbreitung ihrer malware bekannt geworden und scheint mit MedusaLocker verwandt zu sein. Der Name "Medusa" spiegelt die Tendenz der Gruppe wider, Dateien metaphorisch "zu Stein zu verwandeln" und sie unbrauchbar zu machen, bis ein Lösegeld gezahlt wird.

Quelle: Unit42 und OCD

Ziele

Ziele der Medusa

Von Medusa betroffene Länder ransomware

Die meisten Angriffe von Medusa konzentrierten sich auf die Vereinigten Staaten, aber auch in Ländern wie dem Vereinigten Königreich, Kanada und Australien wurden bedeutende Vorfälle gemeldet. Diese Verteilung deutet darauf hin, dass der Schwerpunkt auf Industrienationen mit umfangreichen digitalen Infrastrukturen liegt.

Quelle: Unit42

Zielbranchen von Medusa ransomware

Medusa ransomware hat ein breites Spektrum von Branchen betroffen. Zu den hochrangigen Zielen gehören das Gesundheitswesen, die verarbeitende Industrie, das Bildungswesen und professionelle Dienstleistungen, was die Strategie der Gruppe widerspiegelt, Sektoren anzugreifen, in denen kritische und sensible Informationen verarbeitet werden.

Quelle: Unit42

Zielbranchen von Medusa ransomware

Medusa ransomware hat ein breites Spektrum von Branchen betroffen. Zu den hochrangigen Zielen gehören das Gesundheitswesen, die verarbeitende Industrie, das Bildungswesen und professionelle Dienstleistungen, was die Strategie der Gruppe widerspiegelt, Sektoren anzugreifen, in denen kritische und sensible Informationen verarbeitet werden.

Quelle: Unit42

Medusa ransomware's Opfer

Seit 2023 hat Medusa mehr als 235 Opfer angegriffen .

Quelle: ransomware. live

Angriffsmethode

Angriffsmethode der Medusa ransomware

Eine schattenhafte Gestalt, die ein weites Netz über eine digitale Landschaft mit verschiedenen Geräten wie Computern, Smartphones und Tablets auswirft. Das Netz symbolisiert die Versuche des Angreifers, Schwachstellen zu finden oder phishing Techniken zu verwenden, um unbefugten Zugang zu erhalten.

Medusa verschafft sich in der Regel Zugang, indem sie Schwachstellen in Remote-Desktop-Protokollen (RDP) ausnutzt und phishing Kampagnen durchführt. Sie nutzen auch kompromittierte Anmeldeinformationen, die sie auf verschiedene Weise erhalten haben.

Eine digitale Leiter, die von einem einfachen Benutzersymbol zu einer Krone aufsteigt, die administrative Rechte symbolisiert. Dies steht für die Bemühungen des Angreifers, innerhalb des Systems Zugang zu höheren Ebenen zu erhalten.

Sobald Medusa in ein Netzwerk eingedrungen ist, setzt es Tools wie PsExec ein, um die Privilegien zu erhöhen und im System stärker Fuß zu fassen.

Ein Chamäleon, das sich in einen digitalen Hintergrund einfügt, mit Nullen und Einsen, die es umgeben. Dies steht für die Fähigkeit des Angreifers, sich der Entdeckung durch Sicherheitsmaßnahmen zu entziehen, indem er seine Taktik ändert, um sich in den normalen Netzwerkverkehr einzufügen.

Die Gruppe deaktiviert Sicherheitstools mithilfe von PowerShell-Skripten und ändert Registrierungseinstellungen, um eine Erkennung zu vermeiden. Sie nutzen auch Techniken zur Verschlüsselung von Zeichenfolgen, um bösartigen Code zu verschleiern.

Ein Dieb mit einem Dietrich-Toolkit, der an einem riesigen Schlüsselloch arbeitet, das wie ein Anmeldeformular geformt ist und die Bemühungen des Angreifers darstellt, Benutzerdaten zu stehlen, um unbefugten Zugang zu erhalten.

Medusa sammelt Anmeldedaten mithilfe verschiedener Befehlszeilentools und Skripte und ermöglicht es ihnen, sich seitlich im Netzwerk zu bewegen.

Eine Lupe, die sich über eine digitale Karte eines Netzwerks bewegt und Dateien, Ordner und Netzwerkverbindungen hervorhebt. Dieses Bild stellt die Phase dar, in der Angreifer die Umgebung erkunden, um die Struktur zu verstehen und herauszufinden, wo sich wertvolle Daten befinden.

Mit Tools wie Netscan führen sie eine umfassende Netzwerkerkundung durch, um wertvolle Ziele zu identifizieren und Informationen über die Netzwerktopologie zu sammeln.

Eine Reihe miteinander verbundener Knotenpunkte, zwischen denen sich eine schemenhafte Gestalt heimlich bewegt. Dies veranschaulicht die Bewegungen des Angreifers innerhalb des Netzes, der versucht, die Kontrolle über weitere Systeme zu erlangen oder malware zu verbreiten.

Medusa verwendet legitime Tools und Protokolle wie RDP und SMB, um sich innerhalb des Netzwerks zu bewegen und gestohlene Anmeldedaten zu nutzen.

Ein großer Staubsauger, der Dateien, Datensymbole und Ordner in einen Beutel aufsaugt, der von einer schemenhaften Gestalt gehalten wird. Dieses Bild symbolisiert den Prozess des Sammelns wertvoller Daten aus dem Zielnetzwerk.

Die ransomware sammelt sensible Daten von den infizierten Systemen und bereitet sie für die Exfiltration vor.

Ein Eingabeaufforderungsfenster, das vor einem digitalen Hintergrund geöffnet ist und in das bösartiger Code eingegeben wird. Dies ist die Phase, in der die Angreifer ihre bösartige Nutzlast auf dem angegriffenen System ausführen.

ransomware verschlüsselt Dateien mit AES256-Verschlüsselung und hängt die Erweiterung ".medusa" an die betroffenen Dateien an.

Eine Reihe von Dateien, die über einen verdeckten Kanal von einem Computer zu einem mit einem Totenkopf gekennzeichneten cloud geleitet werden, was die unautorisierte Übertragung von Daten an einen vom Angreifer kontrollierten Ort symbolisiert.

Die Daten werden auf entfernte Server exfiltriert, die von den Angreifern kontrolliert werden. Diese Daten werden dann verwendet, um die Opfer zur Zahlung des Lösegelds zu zwingen.

Ein zerbrochener Bildschirm mit einer digitalen Stadtlandschaft im Chaos dahinter symbolisiert die zerstörerischen Auswirkungen des Cyberangriffs, wie z. B. Dienstunterbrechungen, Datenvernichtung oder finanzielle Verluste.

In der letzten Phase wird eine Lösegeldforderung mit dem Namen "!!read_me_medusa!!.txt" versendet, in der die Opfer angewiesen werden, das Lösegeld für die Entschlüsselung ihrer Dateien zu zahlen. Die Gruppe verwendet eine Mischung aus RSA- und AES-Verschlüsselung, um die Lösegeldtransaktionen zu sichern.

Eine schattenhafte Gestalt, die ein weites Netz über eine digitale Landschaft mit verschiedenen Geräten wie Computern, Smartphones und Tablets auswirft. Das Netz symbolisiert die Versuche des Angreifers, Schwachstellen zu finden oder phishing Techniken zu verwenden, um unbefugten Zugang zu erhalten.
Erster Zugang

Medusa verschafft sich in der Regel Zugang, indem sie Schwachstellen in Remote-Desktop-Protokollen (RDP) ausnutzt und phishing Kampagnen durchführt. Sie nutzen auch kompromittierte Anmeldeinformationen, die sie auf verschiedene Weise erhalten haben.

Eine digitale Leiter, die von einem einfachen Benutzersymbol zu einer Krone aufsteigt, die administrative Rechte symbolisiert. Dies steht für die Bemühungen des Angreifers, innerhalb des Systems Zugang zu höheren Ebenen zu erhalten.
Rechte-Eskalation

Sobald Medusa in ein Netzwerk eingedrungen ist, setzt es Tools wie PsExec ein, um die Privilegien zu erhöhen und im System stärker Fuß zu fassen.

Ein Chamäleon, das sich in einen digitalen Hintergrund einfügt, mit Nullen und Einsen, die es umgeben. Dies steht für die Fähigkeit des Angreifers, sich der Entdeckung durch Sicherheitsmaßnahmen zu entziehen, indem er seine Taktik ändert, um sich in den normalen Netzwerkverkehr einzufügen.
Verteidigung Umgehung

Die Gruppe deaktiviert Sicherheitstools mithilfe von PowerShell-Skripten und ändert Registrierungseinstellungen, um eine Erkennung zu vermeiden. Sie nutzen auch Techniken zur Verschlüsselung von Zeichenfolgen, um bösartigen Code zu verschleiern.

Ein Dieb mit einem Dietrich-Toolkit, der an einem riesigen Schlüsselloch arbeitet, das wie ein Anmeldeformular geformt ist und die Bemühungen des Angreifers darstellt, Benutzerdaten zu stehlen, um unbefugten Zugang zu erhalten.
Zugang zu Anmeldeinformationen

Medusa sammelt Anmeldedaten mithilfe verschiedener Befehlszeilentools und Skripte und ermöglicht es ihnen, sich seitlich im Netzwerk zu bewegen.

Eine Lupe, die sich über eine digitale Karte eines Netzwerks bewegt und Dateien, Ordner und Netzwerkverbindungen hervorhebt. Dieses Bild stellt die Phase dar, in der Angreifer die Umgebung erkunden, um die Struktur zu verstehen und herauszufinden, wo sich wertvolle Daten befinden.
Entdeckung

Mit Tools wie Netscan führen sie eine umfassende Netzwerkerkundung durch, um wertvolle Ziele zu identifizieren und Informationen über die Netzwerktopologie zu sammeln.

Eine Reihe miteinander verbundener Knotenpunkte, zwischen denen sich eine schemenhafte Gestalt heimlich bewegt. Dies veranschaulicht die Bewegungen des Angreifers innerhalb des Netzes, der versucht, die Kontrolle über weitere Systeme zu erlangen oder malware zu verbreiten.
Seitliche Bewegung

Medusa verwendet legitime Tools und Protokolle wie RDP und SMB, um sich innerhalb des Netzwerks zu bewegen und gestohlene Anmeldedaten zu nutzen.

Ein großer Staubsauger, der Dateien, Datensymbole und Ordner in einen Beutel aufsaugt, der von einer schemenhaften Gestalt gehalten wird. Dieses Bild symbolisiert den Prozess des Sammelns wertvoller Daten aus dem Zielnetzwerk.
Sammlung

Die ransomware sammelt sensible Daten von den infizierten Systemen und bereitet sie für die Exfiltration vor.

Ein Eingabeaufforderungsfenster, das vor einem digitalen Hintergrund geöffnet ist und in das bösartiger Code eingegeben wird. Dies ist die Phase, in der die Angreifer ihre bösartige Nutzlast auf dem angegriffenen System ausführen.
Ausführung

ransomware verschlüsselt Dateien mit AES256-Verschlüsselung und hängt die Erweiterung ".medusa" an die betroffenen Dateien an.

Eine Reihe von Dateien, die über einen verdeckten Kanal von einem Computer zu einem mit einem Totenkopf gekennzeichneten cloud geleitet werden, was die unautorisierte Übertragung von Daten an einen vom Angreifer kontrollierten Ort symbolisiert.
Exfiltration

Die Daten werden auf entfernte Server exfiltriert, die von den Angreifern kontrolliert werden. Diese Daten werden dann verwendet, um die Opfer zur Zahlung des Lösegelds zu zwingen.

Ein zerbrochener Bildschirm mit einer digitalen Stadtlandschaft im Chaos dahinter symbolisiert die zerstörerischen Auswirkungen des Cyberangriffs, wie z. B. Dienstunterbrechungen, Datenvernichtung oder finanzielle Verluste.
Auswirkungen

In der letzten Phase wird eine Lösegeldforderung mit dem Namen "!!read_me_medusa!!.txt" versendet, in der die Opfer angewiesen werden, das Lösegeld für die Entschlüsselung ihrer Dateien zu zahlen. Die Gruppe verwendet eine Mischung aus RSA- und AES-Verschlüsselung, um die Lösegeldtransaktionen zu sichern.

MITRE ATT&CK Kartierung

Von Medusa verwendete TTPs ransomware

Medusa ransomware setzt verschiedene TTPs ein, die mit dem MITRE ATT&CK Rahmen abgestimmt sind. Einige der wichtigsten TTPs sind:

TA0001: Initial Access
T1566
Phishing
T1133
External Remote Services
T1078
Valid Accounts
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
T1098
Account Manipulation
T1078
Valid Accounts
TA0004: Privilege Escalation
T1078
Valid Accounts
TA0005: Defense Evasion
T1112
Modify Registry
T1027
Obfuscated Files or Information
T1070
Indicator Removal
T1562
Impair Defenses
T1078
Valid Accounts
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
T1046
Network Service Discovery
T1018
Remote System Discovery
TA0008: Lateral Movement
T1021
Remote Services
TA0009: Collection
T1115
Clipboard Data
TA0011: Command and Control
T1105
Ingress Tool Transfer
TA0010: Exfiltration
T1041
Exfiltration Over C2 Channel
TA0040: Impact
T1486
Data Encrypted for Impact

Häufig gestellte Fragen

Was ist Medusas primäre Methode für den Erstzugang?

Medusa nutzt in erster Linie Schwachstellen in Remote-Desktop-Protokollen (RDP) aus und verwendet phishing Kampagnen, um einen ersten Zugang zu erhalten.

Wie entgeht Medusa ransomware der Entdeckung?

Sie verwenden PowerShell-Skripte und ändern Registrierungseinstellungen, um Sicherheitstools zu deaktivieren und eine Erkennung zu vermeiden.

Welche Branchen sind die Hauptzielgruppen von Medusa ransomware?

Das Gesundheitswesen, das verarbeitende Gewerbe, das Bildungswesen und die freien Berufe gehören zu den am stärksten betroffenen Branchen.

Welche Verschlüsselungsmethoden verwendet Medusa ransomware ?

Medusa verwendet eine Kombination aus RSA- und AES256-Verschlüsselung, um die Transaktionen von ransomware zu sichern und die Dateien der Opfer zu verschlüsseln.

Wie exfiltriert Medusa ransomware Daten?

Die Daten werden auf entfernte, von den Angreifern kontrollierte Server exfiltriert, in der Regel über sichere Kanäle, um nicht entdeckt zu werden.

Wie lautet der typische Name einer Lösegeldforderung, die von Medusa verwendet wird?

Die Lösegeldforderung trägt in der Regel den Namen "!!read_me_medusa!!.txt".

Welche Tools verwendet Medusa ransomware für die Netzwerkerkennung?

Medusa verwendet Tools wie Netscan zur Netzwerkaufklärung und zur Identifizierung wertvoller Ziele.

Wie erreicht Medusa ransomware die seitliche Bewegung?

Sie verwenden legitime Tools und Protokolle wie RDP und SMB und nutzen gestohlene Anmeldedaten, um sich seitlich zu bewegen.

Wie können sich Unternehmen gegen Medusa ransomware schützen?

Die Implementierung strenger Sicherheitsmaßnahmen, wie z. B. regelmäßige Patches, die Verwendung von Multi-Faktor-Authentifizierung und die Überwachung des Netzwerkverkehrs auf ungewöhnliche Aktivitäten, kann zum Schutz vor Medusa beitragen.

Welche Rolle können XDR-Lösungen bei der Abwehr von Medusa ransomware spielen?

XDR-Lösungen bieten umfassende Transparenz und automatisierte Reaktionsmöglichkeiten, um verdächtige Aktivitäten an Endpunkten, in Netzwerken und in cloud Umgebungen zu erkennen und zu entschärfen.