Veoma sofisticirana varijanta ransomware-a pod nazivom Medusa kompromitovala je preko 300 organizacija širom svijeta iz sektora kritične infrastrukture.
Napadi su ciljali širok spektar industrija, uključujući medicinske, obrazovne, pravne, osiguranje, tehnologiju i proizvodni sektor, demonstrirajući široki operativni fokus i sposobnosti hakera.
Varijanta ransomware-a Medusa, prvi put identifikovana junu 2021., djeluje kao model ransomware-as-a-service (RaaS) gdje programeri regrutuju podružnice putem sajber-kriminalnih foruma, nudeći potencijalna plaćanja između 100 USD i 1 milion USD za uspješna kršenja.
Iako je operacija evoluirala tako da uključuje više podružnica, ključne operacije kao što je pregovaranje o otkupnini ostaju centralno pod kontrolom programera.
Analitičari u CISA-i su utvrdili da hakeri Meduze koriste sofisticirane taktike kako bi održali postojanost unutar mreža žrtava, uključujući kreiranje naloga domena kako bi sačuvali pristup kompromitovanim sistemima.
Istraga je otkrila da hakeri obično koriste posrednike za početni pristup (IAB) kako bi ušli u ciljane mreže putem phishing kampanja i iskorištavanja nezakrpljenih ranjivosti.
Operacija ransomware-a koristi model dvostruke iznude , gdje žrtve moraju platiti ne samo za dešifrovanje datoteka već i za sprječavanje objavljivanja eksfiltriranih podataka.
U posebno zabrinjavajućem razvoju događaja, istrage FBI-ja otkrile su slučajeve u kojima su žrtve koje su platile početnu otkupninu naknadno kontaktirali različiti hakeri Meduze tvrdeći da je prvi pregovarač ukrao uplatu, zahtijevajući dodatnu polovinu prvobitne svote kako bi osigurao “pravi dešifrator” – što potencijalno ukazuje na trostruku šemu iznude.
Jednom u mreži, hakeri Meduze koriste tehnike života na kopnu i legitimne sistemske alate kako bi izbjegli otkrivanje dok provode izviđanje.
Oni skeniraju za određene portove uključujući FTP (21), SSH (22), HTTP (80), SQL baze podataka (1433) i Remote Desktop Protocol (3389) kako bi identifikovali vrijedna sredstva unutar mreže.
Operacije i metode
Tehnička sofisticiranost Meduze je očigledna u tehnikama zamagljivanja koje se koriste tokom napada.
Hakeri su primijećeni kako koriste sve složenije PowerShell komande kako bi izbjegli otkrivanje. U jednom primjeru dokumentovano u savjetovanju, hakeri koriste base64 šifrovane komande sa specifičnim postavkama izvršenja: “powershell -exec bypass -enc “.
Komponenta ransomware-a, identifikovana kao “gaze.exe”, prekida sve usluge vezane za sigurnosne kopije, sigurnost, baze podataka i komunikaciju prije brisanja kopija u sjeni i šifrovanja datoteka AES-256 enkripcijom.
Šifrovani fajlovi dobijaju karakterističnu ekstenziju datoteke “.medusa”, a bilješke o otkupnini usmeravaju žrtve da stupe u kontakt putem ćaskanja uživo zasnovanog na Tor pretraživaču ili šifrovane platforme za razmenu poruka Tox.
Federalno savjetovanje uključuje specifična ublažavanja za organizacije, naglašavajući segmentaciju mreže, implementaciju višefaktorske autentifikacije, redovno zakrpe ranjivosti i održavanje vanmrežnih sigurnosnih kopija kako bi se smanjio uticaj potencijalnih napada Medusa ransomware-a.
Izvor: CyberSecurityNewssss
