Ist Ihr Unternehmen vor den Angriffen von Medusa Ransomware sicher?

Der Ursprung der Medusa ransomware

Medusa oder MedusaBlog ist eine ausgeklügelte ransomware Gruppe, die seit mindestens Anfang 2023 aktiv Organisationen angreift. Die Gruppe ist für ihre schnellen Verschlüsselungsfähigkeiten und einzigartigen Techniken zur Verbreitung ihrer malware bekannt geworden und scheint mit MedusaLocker verwandt zu sein. Der Name "Medusa" spiegelt die Tendenz der Gruppe wider, Dateien metaphorisch "zu Stein zu verwandeln" und sie unbrauchbar zu machen, bis ein Lösegeld gezahlt wird.

Quelle: Unit42 und OCD

Ziele

Ziele der Medusa

Von Medusa betroffene Länder ransomware

Die meisten Angriffe von Medusa konzentrierten sich auf die Vereinigten Staaten, aber auch in Ländern wie dem Vereinigten Königreich, Kanada und Australien wurden bedeutende Vorfälle gemeldet. Diese Verteilung deutet darauf hin, dass der Schwerpunkt auf Industrienationen mit umfangreichen digitalen Infrastrukturen liegt.

^Quelle:^Unit42

Zielbranchen von Medusa ransomware

Medusa ransomware hat ein breites Spektrum von Branchen betroffen. Zu den hochrangigen Zielen gehören das Gesundheitswesen, die verarbeitende Industrie, das Bildungswesen und professionelle Dienstleistungen, was die Strategie der Gruppe widerspiegelt, Sektoren anzugreifen, in denen kritische und sensible Informationen verarbeitet werden.

^Quelle:^Unit42

Zielbranchen von Medusa ransomware

Medusa ransomware hat ein breites Spektrum von Branchen betroffen. Zu den hochrangigen Zielen gehören das Gesundheitswesen, die verarbeitende Industrie, das Bildungswesen und professionelle Dienstleistungen, was die Strategie der Gruppe widerspiegelt, Sektoren anzugreifen, in denen kritische und sensible Informationen verarbeitet werden.

^Quelle:^Unit42

Medusa ransomware's Opfer

Seit 2023 hat Medusa mehr als 235 Opfer angegriffen .

Quelle: ransomware. live

Angriffsmethode

Angriffsmethode der Medusa ransomware

Eine schattenhafte Gestalt, die ein weites Netz über eine digitale Landschaft mit verschiedenen Geräten wie Computern, Smartphones und Tablets auswirft. Das Netz symbolisiert die Versuche des Angreifers, Schwachstellen zu finden oder phishing Techniken zu verwenden, um unbefugten Zugang zu erhalten.

Medusa verschafft sich in der Regel Zugang, indem sie Schwachstellen in Remote-Desktop-Protokollen (RDP) ausnutzt und phishing Kampagnen durchführt. Sie nutzen auch kompromittierte Anmeldeinformationen, die sie auf verschiedene Weise erhalten haben.

Eine digitale Leiter, die von einem einfachen Benutzersymbol zu einer Krone aufsteigt, die administrative Rechte symbolisiert. Dies steht für die Bemühungen des Angreifers, innerhalb des Systems Zugang zu höheren Ebenen zu erhalten.

Sobald Medusa in ein Netzwerk eingedrungen ist, setzt es Tools wie PsExec ein, um die Privilegien zu erhöhen und im System stärker Fuß zu fassen.

Ein Chamäleon, das sich in einen digitalen Hintergrund einfügt, mit Nullen und Einsen, die es umgeben. Dies steht für die Fähigkeit des Angreifers, sich der Entdeckung durch Sicherheitsmaßnahmen zu entziehen, indem er seine Taktik ändert, um sich in den normalen Netzwerkverkehr einzufügen.

Die Gruppe deaktiviert Sicherheitstools mithilfe von PowerShell-Skripten und ändert Registrierungseinstellungen, um eine Erkennung zu vermeiden. Sie nutzen auch Techniken zur Verschlüsselung von Zeichenfolgen, um bösartigen Code zu verschleiern.

Ein Dieb mit einem Dietrich-Toolkit, der an einem riesigen Schlüsselloch arbeitet, das wie ein Anmeldeformular geformt ist und die Bemühungen des Angreifers darstellt, Benutzerdaten zu stehlen, um unbefugten Zugang zu erhalten.

Medusa sammelt Anmeldedaten mithilfe verschiedener Befehlszeilentools und Skripte und ermöglicht es ihnen, sich seitlich im Netzwerk zu bewegen.

Eine Lupe, die sich über eine digitale Karte eines Netzwerks bewegt und Dateien, Ordner und Netzwerkverbindungen hervorhebt. Dieses Bild stellt die Phase dar, in der Angreifer die Umgebung erkunden, um die Struktur zu verstehen und herauszufinden, wo sich wertvolle Daten befinden.

Mit Tools wie Netscan führen sie eine umfassende Netzwerkerkundung durch, um wertvolle Ziele zu identifizieren und Informationen über die Netzwerktopologie zu sammeln.

Eine Reihe miteinander verbundener Knotenpunkte, zwischen denen sich eine schemenhafte Gestalt heimlich bewegt. Dies veranschaulicht die Bewegungen des Angreifers innerhalb des Netzes, der versucht, die Kontrolle über weitere Systeme zu erlangen oder malware zu verbreiten.

Medusa verwendet legitime Tools und Protokolle wie RDP und SMB, um sich innerhalb des Netzwerks zu bewegen und gestohlene Anmeldedaten zu nutzen.

Ein großer Staubsauger, der Dateien, Datensymbole und Ordner in einen Beutel aufsaugt, der von einer schemenhaften Gestalt gehalten wird. Dieses Bild symbolisiert den Prozess des Sammelns wertvoller Daten aus dem Zielnetzwerk.

Die ransomware sammelt sensible Daten von den infizierten Systemen und bereitet sie für die Exfiltration vor.

Ein Eingabeaufforderungsfenster, das vor einem digitalen Hintergrund geöffnet ist und in das bösartiger Code eingegeben wird. Dies ist die Phase, in der die Angreifer ihre bösartige Nutzlast auf dem angegriffenen System ausführen.

ransomware verschlüsselt Dateien mit AES256-Verschlüsselung und hängt die Erweiterung ".medusa" an die betroffenen Dateien an.

Eine Reihe von Dateien, die über einen verdeckten Kanal von einem Computer zu einem mit einem Totenkopf gekennzeichneten cloud geleitet werden, was die unautorisierte Übertragung von Daten an einen vom Angreifer kontrollierten Ort symbolisiert.

Die Daten werden auf entfernte Server exfiltriert, die von den Angreifern kontrolliert werden. Diese Daten werden dann verwendet, um die Opfer zur Zahlung des Lösegelds zu zwingen.

Ein zerbrochener Bildschirm mit einer digitalen Stadtlandschaft im Chaos dahinter symbolisiert die zerstörerischen Auswirkungen des Cyberangriffs, wie z. B. Dienstunterbrechungen, Datenvernichtung oder finanzielle Verluste.

In der letzten Phase wird eine Lösegeldforderung mit dem Namen "!!read_me_medusa!!.txt" versendet, in der die Opfer angewiesen werden, das Lösegeld für die Entschlüsselung ihrer Dateien zu zahlen. Die Gruppe verwendet eine Mischung aus RSA- und AES-Verschlüsselung, um die Lösegeldtransaktionen zu sichern.

Erster Zugang

Medusa verschafft sich in der Regel Zugang, indem sie Schwachstellen in Remote-Desktop-Protokollen (RDP) ausnutzt und phishing Kampagnen durchführt. Sie nutzen auch kompromittierte Anmeldeinformationen, die sie auf verschiedene Weise erhalten haben.

Rechte-Eskalation

Sobald Medusa in ein Netzwerk eingedrungen ist, setzt es Tools wie PsExec ein, um die Privilegien zu erhöhen und im System stärker Fuß zu fassen.

Verteidigung Umgehung

Die Gruppe deaktiviert Sicherheitstools mithilfe von PowerShell-Skripten und ändert Registrierungseinstellungen, um eine Erkennung zu vermeiden. Sie nutzen auch Techniken zur Verschlüsselung von Zeichenfolgen, um bösartigen Code zu verschleiern.

Zugang zu Anmeldeinformationen

Medusa sammelt Anmeldedaten mithilfe verschiedener Befehlszeilentools und Skripte und ermöglicht es ihnen, sich seitlich im Netzwerk zu bewegen.

Entdeckung

Mit Tools wie Netscan führen sie eine umfassende Netzwerkerkundung durch, um wertvolle Ziele zu identifizieren und Informationen über die Netzwerktopologie zu sammeln.

Seitliche Bewegung

Medusa verwendet legitime Tools und Protokolle wie RDP und SMB, um sich innerhalb des Netzwerks zu bewegen und gestohlene Anmeldedaten zu nutzen.

Sammlung

Die ransomware sammelt sensible Daten von den infizierten Systemen und bereitet sie für die Exfiltration vor.

Ausführung

ransomware verschlüsselt Dateien mit AES256-Verschlüsselung und hängt die Erweiterung ".medusa" an die betroffenen Dateien an.

Exfiltration

Die Daten werden auf entfernte Server exfiltriert, die von den Angreifern kontrolliert werden. Diese Daten werden dann verwendet, um die Opfer zur Zahlung des Lösegelds zu zwingen.

Auswirkungen

In der letzten Phase wird eine Lösegeldforderung mit dem Namen "!!read_me_medusa!!.txt" versendet, in der die Opfer angewiesen werden, das Lösegeld für die Entschlüsselung ihrer Dateien zu zahlen. Die Gruppe verwendet eine Mischung aus RSA- und AES-Verschlüsselung, um die Lösegeldtransaktionen zu sichern.

MITRE ATT&CK Kartierung

Von Medusa verwendete TTPs ransomware

Medusa ransomware setzt verschiedene TTPs ein, die mit dem MITRE ATT&CK Rahmen abgestimmt sind. Einige der wichtigsten TTPs sind:

TA0001: Initial Access

T1566

Phishing

T1133

External Remote Services

T1078

Valid Accounts

TA0002: Execution

T1059

Command and Scripting Interpreter

TA0003: Persistence

T1098

Account Manipulation

T1078

Valid Accounts

TA0004: Privilege Escalation

T1078

Valid Accounts

TA0005: Defense Evasion

T1112

Modify Registry

T1027

Obfuscated Files or Information

T1070

Indicator Removal

T1562

Impair Defenses

T1078

Valid Accounts

TA0006: Credential Access

T1003

OS Credential Dumping

TA0007: Discovery

T1046

Network Service Discovery

T1018

Remote System Discovery

TA0008: Lateral Movement

T1021

Remote Services

TA0009: Collection

T1115

Clipboard Data

TA0011: Command and Control

T1105

Ingress Tool Transfer

TA0010: Exfiltration

T1041

Exfiltration Over C2 Channel

TA0040: Impact

T1486

Data Encrypted for Impact

Plattform-Detektionen

So erkennen Sie Medusa ransomware mit Vectra AI

AWS Ransomware S3 Activity

M365 Internal Spearphishing

M365 Ransomware

RDP Recon

Ransomware File Activity

Suspicious Port Scan

Weitere Entdeckungen anzeigen

Bewerten Sie Ihr Angriffsrisiko

Häufig gestellte Fragen

Was ist Medusas primäre Methode für den Erstzugang?

Medusa nutzt in erster Linie Schwachstellen in Remote-Desktop-Protokollen (RDP) aus und verwendet phishing Kampagnen, um einen ersten Zugang zu erhalten.

Wie entgeht Medusa ransomware der Entdeckung?

Sie verwenden PowerShell-Skripte und ändern Registrierungseinstellungen, um Sicherheitstools zu deaktivieren und eine Erkennung zu vermeiden.

Welche Branchen sind die Hauptzielgruppen von Medusa ransomware?

Das Gesundheitswesen, das verarbeitende Gewerbe, das Bildungswesen und die freien Berufe gehören zu den am stärksten betroffenen Branchen.

Welche Verschlüsselungsmethoden verwendet Medusa ransomware ?

Medusa verwendet eine Kombination aus RSA- und AES256-Verschlüsselung, um die Transaktionen von ransomware zu sichern und die Dateien der Opfer zu verschlüsseln.

Wie exfiltriert Medusa ransomware Daten?

Die Daten werden auf entfernte, von den Angreifern kontrollierte Server exfiltriert, in der Regel über sichere Kanäle, um nicht entdeckt zu werden.

Wie lautet der typische Name einer Lösegeldforderung, die von Medusa verwendet wird?

Die Lösegeldforderung trägt in der Regel den Namen "!!read_me_medusa!!.txt".

Welche Tools verwendet Medusa ransomware für die Netzwerkerkennung?

Medusa verwendet Tools wie Netscan zur Netzwerkaufklärung und zur Identifizierung wertvoller Ziele.

Wie erreicht Medusa ransomware die seitliche Bewegung?

Sie verwenden legitime Tools und Protokolle wie RDP und SMB und nutzen gestohlene Anmeldedaten, um sich seitlich zu bewegen.

Wie können sich Unternehmen gegen Medusa ransomware schützen?

Die Implementierung strenger Sicherheitsmaßnahmen, wie z. B. regelmäßige Patches, die Verwendung von Multi-Faktor-Authentifizierung und die Überwachung des Netzwerkverkehrs auf ungewöhnliche Aktivitäten, kann zum Schutz vor Medusa beitragen.

Welche Rolle können XDR-Lösungen bei der Abwehr von Medusa ransomware spielen?

XDR-Lösungen bieten umfassende Transparenz und automatisierte Reaktionsmöglichkeiten, um verdächtige Aktivitäten an Endpunkten, in Netzwerken und in cloud Umgebungen zu erkennen und zu entschärfen.

Ist Ihr Unternehmen vor den Angriffen von Medusa Ransomware sicher?

Bewerten Sie Ihr Angriffsrisiko