FBI ve CISA, kritik altyapıyı etkileyen Medusa fidye yazılımı saldırılarını uyardı. Medusa’nın taktikleri, önleme ipuçları ve fidye ödemenin neden caydırıldığı hakkında bilgi edinin.
Federal Soruşturma Bürosu (FBI) ve Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) tarafından ortak bir danışma, özellikle agresif bir dijital tehdidi- Medusa Ransomware çetesi olarak bilinen bir ceza operasyonu ortaya koydu.
Danışmanlığa (#Stopransomware: Medusa Ransomware) göre, Haziran 2021’de ilk olarak tanımlanan bir Hizmet Olarak Fidye Yazılımı (RAAS) grubu Medusa, Amerika Birleşik Devletleri’ndeki kritik altyapı sektörleri için ciddi bir tehdit haline geldi.
Yetkililer, sağlık, eğitim, hukuk firmaları, sigorta sağlayıcıları, teknoloji şirketleri ve üreticiler dahil olmak üzere çeşitli sektörlerdeki kuruluşları etkileyen bir saldırı paterni belirlediler. Kurbanları arasında Wisconsin’de Bell Ambulans, TÜFE Books, Müşteri Yönetimi Sistemleri ve Heartland Sağlık Merkezi bulunmaktadır. Aralık 2024 itibariyle 300’ü aşan kurban sayısı bu tehdidin kapsamını vurgulamaktadır.
Aktörler, aldatıcı iletişim (kimlik avı) dahil olmak üzere sistemlere sızmak ve eşleştirilmemiş yazılım güvenlik açıklarından yararlanmak için farklı yöntemler kullanırlar (örn. ScreAnconnect kimlik doğrulama bypass CVE-2024-1709). Bir ağın içine girdikten sonra, tespit edilmemiş hareket etmek için meşru sistem yönetimi araçlarını kullanırlar.
Mağdurların verilerini şifrelemeyi ve ona erişilemez hale getirmeyi ve talepleri karşılanmazsa hassas bilgileri ortaya çıkarmakla tehdit etmekle birlikte benzersiz bir yaklaşım kullanırlar. Bu taktik, hedeflenen kuruluşlar üzerinde muazzam bir baskı yaratarak, verilerinin halkın ifşasını önlemek için fidye ödemeyi düşünmeye zorlar.
“Medusa geliştiricileri, potansiyel kurbanlara ilk erişimi elde etmek için genellikle siber suçlu forumlarda ve pazar yerlerinde ilk erişim brokerlerini (IAB’ler) işe alırlar. Bu bağlı kuruluşlara 100 USD ile 1 milyon dolar arasında potansiyel ödemeler sunulmaktadır.
Medusa, güvenliği ihlal edilmiş sistemleri kontrol etmek için uzaktan erişim yazılımı gibi faaliyetlerini gizlemek ve komut sunucularına gizli bağlantılar oluşturmak için şifreli komut dosyaları ve araçları kullanmak ve böylece güvenlik yazılımı algılamasından kaçınmak için gelişmiş teknikler kullanır.
Bu operasyonun özellikle ilgili bir yönü, gasp taktiklerinin agresif doğasıdır. Kurbanlara fidye ödemek için çok kısa bir zaman penceresi, genellikle sadece iki gün. Doğrudan iletişim yoluyla baskı altına alınırlar ve uymazlarsa, çalınan verileri Darknet web sitelerinde sunulur. İlk fidye ödemenin, daha fazla talep izleyebileceği için çileğin sonunu garanti etmeyebileceğine dair raporlar bile var.
Bu büyüyen tehdide yanıt olarak, federal ajanslar düzenli yazılım güncellemeleri sağlama, güvenilir erişim kontrolleri uygulama ve çok faktörlü kimlik doğrulama kullanma ihtiyacını vurgulamıştır. Ayrıca, şüpheli davranışlar için ağ etkinliğini izlemeyi, uzak masaüstü protokollerinin kullanımını sınırlandırmayı ve ağların olası ihlalleri içerecek şekilde segmentleştirmesini tavsiye ederler.
Ayrıca, kullanıcıların webmail ve VPN’ler için iki faktörlü kimlik doğrulamasını (2FA) etkinleştirmeleri istenir, çünkü sosyal mühendislik bu saldırılarda önemli bir faktördür. Medusa fidye yazılımlarından etkilenen tüm kuruluşların olayları kolluk kuvvetlerine bildirmeleri ve fidye talebini ödemekten kaçınmaları istenir.