FBI ve ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) dahil olmak üzere federal yetkililer, Medusa Ransomware Group’un yarattığı artan tehdit hakkında yüksek öncelikli bir danışma uyarısı yayınladılar.
Siber suçlu organizasyonu saldırılarını artırdı ve Gmail ve Outlook gibi büyük e -posta hizmet sağlayıcılarının kullanıcılarını giderek daha fazla hedef aldı. Medusa’nın erişimi, sağlık hizmetleri, eğitim, hukuk hizmetleri, sigorta, teknoloji ve üretim ile en zorlu vuruşlar arasında birçok sektörde uzanır.
Etkinlik artışı, artan fidye yazılımı tehdidine karşı savunmak için artan siber güvenlik önlemleri çağrısında bulundu.
Medusa fidye yazılımı saldırılarında dalgalanma
Mart 2025’in başlarında yayınlanan fidye yazılımı danışmanlığı, Medusa fidye yazılımı saldırılarında bir artış olduğunu bildirdi. Bir siber güvenlik tehdidi istihbarat firması olan Cyble’a göre, grup 2025’teki faaliyetlerinde bir önceki yıla göre% 45’lik bir artış gördü.
Mart ayının başlarında, 60 yeni kurban zaten bildirilmişti, bu da Medusa’nın 2025’te 300 olayı aşmaya devam ettiğini gösteriyor, bu da 2024’te 211’den daha keskin bir artış. Özellikle Şubat ayında dramatik bir artış gördü ve 33 kurban sadece bir ay içinde bildirildi ve tüm çeşitlerde fidye yazılımı faaliyeti için en yüksek ay oldu.
Haziran 2021’de tespit edilen Medusa Fidye Yazılımı, başlangıçta tek bir siber suçlu grubu tarafından işletilen kapalı bir sistemdi. Ancak, o zamandan beri bir Hizmet Olarak Fidye Yazılımı (RAAS) modeline dönüştü. Bu modelde, çekirdek geliştiriciler saldırıları yürütmek için iştirakleri işe alırken fidye müzakereleri üzerinde kontrolü elinde tutuyorlar. Bu bağlı kuruluşlar genellikle çevrimiçi forumlar ve pazar yerleri aracılığıyla işe alınan siber suçlulardır ve ödemeler başarılı saldırılar için 100 ila 1 milyon dolar arasında değişmektedir.
Grup öncelikle çeşitli sektörlerdeki yüksek profilli varlıkları hedeflemiştir ve genellikle çift gasp modeli kullanır. Bu, önce kurbanın verilerini şifrelemeyi ve şifre çözme için talep etmeyi içerir. Fidye ödenmezse, grup çalıntı, hassas verileri kamuya açıklamakla tehdit eder. Bu teknik, kurbanlara fidye taleplerine uymak için yoğun bir baskı katıyor.
Medusa Fidye Yazılımının Teknik Detayları
Medusa’nın operasyonu, hedeflerine yetkisiz erişim elde etmek için birden fazla yöntem kullanarak bağlı kuruluşlara bağlıdır. En yaygın taktikler arasında kimlik avı kampanyaları ve eşleştirilmemiş yazılım güvenlik açıklarından yararlanma. Kimlik avı saldırıları, kimlik bilgilerini çalmak için birincil yöntemdir ve siber suçluların, kullanıcıları giriş bilgilerini açıklamaya yönlendiren aldatıcı e -postalar veya web siteleri aracılığıyla ağlara sızmasına izin verir.
Medusa iştiraklerinin popüler yazılımlardaki güvenlik açıklarından da yararlandığı bilinmektedir. Erişim sağlandıktan sonra, Medusa aktörleri potansiyel hedefleri tanımlamak için gelişmiş IP tarayıcı ve softperfect ağ tarayıcı gibi ağ numaralandırma araçlarını dağıtır. Grup daha sonra PowerShell ve Windows komut istemi gibi meşru Windows araçlarını daha fazla keşif yapmak, sistemleri haritalamak ve ilgilenilen dosyaları tanımlamak için kullanır.
Kaçan tespit
Medusa fidye yazılımının ayırt edici özelliklerinden biri, sofistike savunma kaçırma teknikleridir. Grup, saldırılarını gerçekleştirmek için meşru sistem araçlarından yararlanmayı ve tespiti daha zor hale getirmeyi içeren karada (LOTL) taktikleri yaşıyor. Örneğin, meşru kullanılarak gözlemlendiler Sertifika Dosya girişi sırasında eylemlerini gizleme aracı, uç nokta algılama sistemleri tarafından algılanma şansını azaltır.
Buna ek olarak, Medusa aktörleri, faaliyetlerini gizlemek için Base64’teki komutları kodlayan gizli PowerShell komut dosyaları kullanırlar. Ayrıca geleneksel siber güvenlik sistemleri tarafından tespit edilmesini önlemek için dizeleri daha küçük parçalara ayırırlar. Ayrıca, uç nokta algılama ve yanıt (EDR) araçlarını devre dışı bırakmak için imzalı sürücüleri manipüle ederler, bu da tespitten daha fazla kaçar ve kurban ağı içindeki dayanaklarını korurlar.
Yanal hareket ve veri açığa çıkması
Medusa aktörleri, uzlaşmış bir ağ içinde yanal olarak hareket etme konusunda usta. Sistemde gezinmek ve kontrolü sürdürmek için uzak masaüstü protokolü (RDP) ve Psexec ile birlikte AnyDesk, ConnectWise ve Splashtop gibi araçları kullanırlar. Ayrıca Mimikatz’ı yerel Güvenlik İdaresi Alt Sistem Hizmetinden (LSASS) bellekten kimlik bilgilerini çıkarmak için kullanırlar ve ağ genelinde daha fazla hareket sağlarlar.
Yanal hareket elde edildikten sonra, Medusa Ransomware, çalınan verileri grubun komut ve kontrol (C2) sunucularına eklemek için RCLone aracını kullanır. Kurtarma çabalarını önlemek için fidye yazılımı, AES-256 şifrelemesini kullanarak dosyaları şifreler ve şifreleme işlemine başlamadan önce yedekleme sistemlerini ve gölge kopyalarını siler. Etkilenen dosyalara verilir .medusa uzatma, tehlikeye atıldıklarını belirten.
Çift gasp ve fidye talebi
Medusa’nın çift gasp stratejisi sadece verilerin şifrelenmesini değil, aynı zamanda fidye ödenmedikçe hassas, çalınan bilgileri kamuya açıklamakla da tehdit etmeyi de içerir. Mağdurlara Tor ve Tox gibi şifreli mesajlaşma platformları aracılığıyla temasa geçilir ve enfekte olmuş sistemlere bir fidye notu düşürülür ve ödeme adımlarını özetler.
Grubun ayrıca, geri çekilen verilerin ne zaman yayınlanacağına işaret eden, geri sayım zamanlayıcılarla birlikte kurbanların adlarını yayınladıkları.
Bazı durumlarda, mağdurlar fidye ödedikten sonra bile, ek ödemeler talep eden diğer Medusa iştirakleri tarafından tekrar temasa geçerek üçlü gasp şeması olasılığını düşündürmektedir. Bu, kurbanların saldırılardan kurtulmasını daha da zorlaştırıyor.
Çözüm
FBI ve CISA ile Medusa fidye yazılımıyla bağlantılı kritik uzlaşma göstergelerini (IOC’ler) tanımlayan – fidye notları, uzaktan erişim komut dosyaları ve ters kabuklar dahil olmak üzere – organizasyonlar siber güvenlik savunmalarını desteklemek için proaktif adımlar atmalıdır. Düzenli yazılım yamalarının uygulanması, güçlü kimlik doğrulama önlemlerinin uygulanması, güvenli yedeklemelerin korunması ve uç nokta algılama araçlarının dağıtılması, bu saldırılara mağdur olma riskini önemli ölçüde azaltabilir.
Medusa gibi fidye yazılımı grupları taktiklerini geliştirirken, gerçek zamanlı tehdit istihbaratı zorunlu hale gelir. Cyble’s AI güdümlü siber güvenlik platformları, kuruluşların ortaya çıkan tehditlerin önünde kalmasını sağlayan gelişmiş izleme ve algılama yetenekleri sunar.
Bilgilendirilmiş, federal siber güvenlik kaynaklarından yararlanarak ve proaktif bir güvenlik duruşunu benimseyerek, işletmeler ve bireyler, verilerini amansız fidye yazılım tehdidine karşı daha iyi koruyabilir.