De dreigingsactoren die verband houden met de Medusa-ransomware hebben hun activiteiten opgevoerd na het debuut van een speciale dataleksite op het dark web in februari 2023 om gevoelige gegevens te publiceren van slachtoffers die niet bereid zijn in te stemmen met hun eisen.
“Als onderdeel van hun multi-afpersingsstrategie zal deze groep slachtoffers meerdere opties bieden wanneer hun gegevens op hun leksite worden geplaatst, zoals tijdsverlenging, gegevensverwijdering of het downloaden van alle gegevens”, aldus Palo Alto Networks Unit 42-onderzoekers Anthony Dat zeggen Galiette en Doel Santos in een rapport gedeeld met The Hacker News.
“Al deze opties hebben een prijskaartje, afhankelijk van de organisatie die door deze groep wordt beïnvloed.”
Medusa (niet te verwarren met Medusa Locker) verwijst naar een ransomwarefamilie die eind 2022 opdook voordat deze in 2023 op de voorgrond trad. Het staat erom bekend dat het zich opportunistisch richt op een breed scala aan industrieën, zoals geavanceerde technologie, onderwijs, productie, gezondheidszorg en detailhandel. .
Naar schatting zijn maar liefst 74 organisaties, voornamelijk in de VS, Groot-Brittannië, Frankrijk, Italië, Spanje en India, in 2023 getroffen door de ransomware.
Ransomware-aanvallen die door de groep worden georkestreerd, beginnen met de exploitatie van internetgerichte middelen of applicaties met bekende, niet-gepatchte kwetsbaarheden en het kapen van legitieme accounts, waarbij vaak initiële toegangsmakelaars worden ingezet om voet aan de grond te krijgen op doelnetwerken.
In één geval dat door het cyberbeveiligingsbedrijf werd waargenomen, werd een Microsoft Exchange Server misbruikt om een webshell te uploaden, die vervolgens werd gebruikt als kanaal om de ConnectWise software voor monitoring en beheer op afstand (RMM) te installeren en uit te voeren.
Een opmerkelijk aspect van de infecties is de afhankelijkheid van LotL-technieken (living-off-the-land) om te combineren met legitieme activiteiten en omzeilingsdetectie. Ook wordt het gebruik van een paar kerneldrivers waargenomen om een hardgecodeerde lijst met beveiligingsproducten te beëindigen.
De initiële toegangsfase wordt gevolgd door ontdekking en verkenning van het aangetaste netwerk, waarbij de actoren uiteindelijk de ransomware lanceren om alle bestanden op te sommen en te coderen, behalve die met de extensies .dll, .exe, .lnk en .medusa (de extensie die wordt gegeven naar de gecodeerde bestanden).
Voor elk getroffen slachtoffer geeft de leksite van Medusa informatie weer over de organisaties, het gevraagde losgeld, de resterende tijd voordat de gestolen gegevens publiekelijk worden vrijgegeven en het aantal views in een poging druk uit te oefenen op het bedrijf.
De actoren bieden het slachtoffer ook verschillende keuzes, die allemaal een vorm van afpersing met zich meebrengen om de gestolen gegevens te verwijderen of te downloaden en om verlenging van de tijd te vragen om te voorkomen dat de gegevens worden vrijgegeven.
Terwijl ransomware een wijdverspreide bedreiging blijft, die zich richt op technologiebedrijven, de gezondheidszorg, kritieke infrastructuur en alles daartussenin, worden de dreigingsactoren erachter brutaler met hun tactieken. Ze gaan verder dan het publiekelijk benoemen en beschamen van organisaties door hun toevlucht te nemen tot bedreigingen van fysiek geweld. en zelfs speciale PR-kanalen.
“Ransomware heeft veel facetten van het dreigingslandschap veranderd, maar een belangrijke recente ontwikkeling is de toenemende commoditisering en professionalisering ervan”, zeiden Sophos-onderzoekers vorige maand, waarbij ze ransomware-bendes “steeds media-bewuster” noemden.
Medusa heeft volgens Unit 42 niet alleen een mediateam dat waarschijnlijk hun merkinspanningen zal afhandelen, maar maakt ook gebruik van een openbaar Telegram-kanaal met de naam ‘informatieondersteuning’, waar bestanden van gecompromitteerde organisaties worden gedeeld en toegankelijk zijn via het clearnet. De zender is in juli 2021 opgericht.
“De opkomst van de Medusa-ransomware eind 2022 en de bekendheid ervan in 2023 markeren een belangrijke ontwikkeling in het ransomware-landschap”, aldus de onderzoekers. “Deze operatie demonstreert complexe propagatiemethoden, waarbij gebruik wordt gemaakt van zowel systeemkwetsbaarheden als initiële toegangsmakelaars, terwijl detectie door middel van ‘living-off-the-land’-technieken vakkundig wordt vermeden.”
De ontwikkeling komt op het moment dat Arctic Wolf Labs twee gevallen publiceerde waarin slachtoffers van de ransomware-bendes Akira en Royal het doelwit waren van kwaadwillende derden die zich voordeden als beveiligingsonderzoekers voor secundaire afpersingspogingen.
“Bedreigingsactoren vertelden een verhaal over het helpen van slachtofferorganisaties, door aan te bieden de serverinfrastructuur van de oorspronkelijke betrokken ransomware-groepen te hacken om geëxfiltreerde gegevens te verwijderen”, zeiden beveiligingsonderzoekers Stefan Hostetler en Steven Campbell, waarbij ze opmerkten dat de dreigingsactor naar ongeveer 5 bitcoin zocht. ruilen voor de dienst.
Het volgt ook op een nieuw advies van het Finse Nationale Cyber Security Centrum (NCSC-FI) over een piek in Akira-ransomware-incidenten in het land tegen het einde van 2023 door misbruik te maken van een beveiligingsfout in Cisco VPN-apparaten (CVE-2023-20269, CVSS score: 5,0) om binnenlandse entiteiten te overtreden.
