Medusa ransomware ist eine ausgeklügelte Cyber-Bedrohung, die für ihre schnellen Verschlüsselungsfähigkeiten und einzigartigen Einsatztechniken bekannt ist und in erster Linie auf Organisationen in verschiedenen Branchen abzielt, um Lösegeldzahlungen zu erpressen.
Medusa oder MedusaBlog ist eine ausgeklügelte ransomware Gruppe, die seit mindestens Anfang 2023 aktiv Organisationen angreift. Die Gruppe ist für ihre schnellen Verschlüsselungsfähigkeiten und einzigartigen Techniken zur Verbreitung ihrer malware bekannt geworden und scheint mit MedusaLocker verwandt zu sein. Der Name "Medusa" spiegelt die Tendenz der Gruppe wider, Dateien metaphorisch "zu Stein zu verwandeln" und sie unbrauchbar zu machen, bis ein Lösegeld gezahlt wird.
Quelle: Unit42 und OCD
Die meisten Angriffe von Medusa konzentrierten sich auf die Vereinigten Staaten, aber auch in Ländern wie dem Vereinigten Königreich, Kanada und Australien wurden bedeutende Vorfälle gemeldet. Diese Verteilung deutet darauf hin, dass der Schwerpunkt auf Industrienationen mit umfangreichen digitalen Infrastrukturen liegt.
Quelle: Unit42
Medusa ransomware hat ein breites Spektrum von Branchen betroffen. Zu den hochrangigen Zielen gehören das Gesundheitswesen, die verarbeitende Industrie, das Bildungswesen und professionelle Dienstleistungen, was die Strategie der Gruppe widerspiegelt, Sektoren anzugreifen, in denen kritische und sensible Informationen verarbeitet werden.
Quelle: Unit42
Medusa ransomware hat ein breites Spektrum von Branchen betroffen. Zu den hochrangigen Zielen gehören das Gesundheitswesen, die verarbeitende Industrie, das Bildungswesen und professionelle Dienstleistungen, was die Strategie der Gruppe widerspiegelt, Sektoren anzugreifen, in denen kritische und sensible Informationen verarbeitet werden.
Quelle: Unit42
Seit 2023 hat Medusa mehr als 235 Opfer angegriffen .
Quelle: ransomware. live
Medusa verschafft sich in der Regel Zugang, indem sie Schwachstellen in Remote-Desktop-Protokollen (RDP) ausnutzt und phishing Kampagnen durchführt. Sie nutzen auch kompromittierte Anmeldeinformationen, die sie auf verschiedene Weise erhalten haben.
Sobald Medusa in ein Netzwerk eingedrungen ist, setzt es Tools wie PsExec ein, um die Privilegien zu erhöhen und im System stärker Fuß zu fassen.
Die Gruppe deaktiviert Sicherheitstools mithilfe von PowerShell-Skripten und ändert Registrierungseinstellungen, um eine Erkennung zu vermeiden. Sie nutzen auch Techniken zur Verschlüsselung von Zeichenfolgen, um bösartigen Code zu verschleiern.
Medusa sammelt Anmeldedaten mithilfe verschiedener Befehlszeilentools und Skripte und ermöglicht es ihnen, sich seitlich im Netzwerk zu bewegen.
Mit Tools wie Netscan führen sie eine umfassende Netzwerkerkundung durch, um wertvolle Ziele zu identifizieren und Informationen über die Netzwerktopologie zu sammeln.
Medusa verwendet legitime Tools und Protokolle wie RDP und SMB, um sich innerhalb des Netzwerks zu bewegen und gestohlene Anmeldedaten zu nutzen.
Die ransomware sammelt sensible Daten von den infizierten Systemen und bereitet sie für die Exfiltration vor.
ransomware verschlüsselt Dateien mit AES256-Verschlüsselung und hängt die Erweiterung ".medusa" an die betroffenen Dateien an.
Die Daten werden auf entfernte Server exfiltriert, die von den Angreifern kontrolliert werden. Diese Daten werden dann verwendet, um die Opfer zur Zahlung des Lösegelds zu zwingen.
In der letzten Phase wird eine Lösegeldforderung mit dem Namen "!!read_me_medusa!!.txt" versendet, in der die Opfer angewiesen werden, das Lösegeld für die Entschlüsselung ihrer Dateien zu zahlen. Die Gruppe verwendet eine Mischung aus RSA- und AES-Verschlüsselung, um die Lösegeldtransaktionen zu sichern.
Medusa verschafft sich in der Regel Zugang, indem sie Schwachstellen in Remote-Desktop-Protokollen (RDP) ausnutzt und phishing Kampagnen durchführt. Sie nutzen auch kompromittierte Anmeldeinformationen, die sie auf verschiedene Weise erhalten haben.
Sobald Medusa in ein Netzwerk eingedrungen ist, setzt es Tools wie PsExec ein, um die Privilegien zu erhöhen und im System stärker Fuß zu fassen.
Die Gruppe deaktiviert Sicherheitstools mithilfe von PowerShell-Skripten und ändert Registrierungseinstellungen, um eine Erkennung zu vermeiden. Sie nutzen auch Techniken zur Verschlüsselung von Zeichenfolgen, um bösartigen Code zu verschleiern.
Medusa sammelt Anmeldedaten mithilfe verschiedener Befehlszeilentools und Skripte und ermöglicht es ihnen, sich seitlich im Netzwerk zu bewegen.
Mit Tools wie Netscan führen sie eine umfassende Netzwerkerkundung durch, um wertvolle Ziele zu identifizieren und Informationen über die Netzwerktopologie zu sammeln.
Medusa verwendet legitime Tools und Protokolle wie RDP und SMB, um sich innerhalb des Netzwerks zu bewegen und gestohlene Anmeldedaten zu nutzen.
Die ransomware sammelt sensible Daten von den infizierten Systemen und bereitet sie für die Exfiltration vor.
ransomware verschlüsselt Dateien mit AES256-Verschlüsselung und hängt die Erweiterung ".medusa" an die betroffenen Dateien an.
Die Daten werden auf entfernte Server exfiltriert, die von den Angreifern kontrolliert werden. Diese Daten werden dann verwendet, um die Opfer zur Zahlung des Lösegelds zu zwingen.
In der letzten Phase wird eine Lösegeldforderung mit dem Namen "!!read_me_medusa!!.txt" versendet, in der die Opfer angewiesen werden, das Lösegeld für die Entschlüsselung ihrer Dateien zu zahlen. Die Gruppe verwendet eine Mischung aus RSA- und AES-Verschlüsselung, um die Lösegeldtransaktionen zu sichern.
Medusa ransomware setzt verschiedene TTPs ein, die mit dem MITRE ATT&CK Rahmen abgestimmt sind. Einige der wichtigsten TTPs sind:
Medusa nutzt in erster Linie Schwachstellen in Remote-Desktop-Protokollen (RDP) aus und verwendet phishing Kampagnen, um einen ersten Zugang zu erhalten.
Sie verwenden PowerShell-Skripte und ändern Registrierungseinstellungen, um Sicherheitstools zu deaktivieren und eine Erkennung zu vermeiden.
Das Gesundheitswesen, das verarbeitende Gewerbe, das Bildungswesen und die freien Berufe gehören zu den am stärksten betroffenen Branchen.
Medusa verwendet eine Kombination aus RSA- und AES256-Verschlüsselung, um die Transaktionen von ransomware zu sichern und die Dateien der Opfer zu verschlüsseln.
Die Daten werden auf entfernte, von den Angreifern kontrollierte Server exfiltriert, in der Regel über sichere Kanäle, um nicht entdeckt zu werden.
Die Lösegeldforderung trägt in der Regel den Namen "!!read_me_medusa!!.txt".
Medusa verwendet Tools wie Netscan zur Netzwerkaufklärung und zur Identifizierung wertvoller Ziele.
Sie verwenden legitime Tools und Protokolle wie RDP und SMB und nutzen gestohlene Anmeldedaten, um sich seitlich zu bewegen.
Die Implementierung strenger Sicherheitsmaßnahmen, wie z. B. regelmäßige Patches, die Verwendung von Multi-Faktor-Authentifizierung und die Überwachung des Netzwerkverkehrs auf ungewöhnliche Aktivitäten, kann zum Schutz vor Medusa beitragen.
XDR-Lösungen bieten umfassende Transparenz und automatisierte Reaktionsmöglichkeiten, um verdächtige Aktivitäten an Endpunkten, in Netzwerken und in cloud Umgebungen zu erkennen und zu entschärfen.