Medusa fidye yazılımı çetesi, tıbbi, imalat ve teknoloji endüstrileri gibi kritik altyapı sektörlerine 300’den fazla organizasyonu enfekte etti.
Bu, Çarşamba günü CISA, FBI ve Çok Devlet Bilgi Paylaşımı ve Analiz Merkezi (MS-ISAC) tarafından yayınlanan ortak bir siber güvenlik danışmanlığına göre. Ajanslar, Medusalocker fidye yazılımına bağlı olmayan Medusa’nın 2021’den beri aktif olduğunu ve başlangıçta kapalı bir fidye yazılımı operasyonu olarak başladığını belirtti.
“Medusa o zamandan beri bir bağlı kuruluş modelini kullanmaya ilerlerken, fidye müzakeresi gibi önemli operasyonlar hala geliştiriciler tarafından merkezi olarak kontrol ediliyor” danışma söz konusu. “Bu danışmanda ‘Medusa aktörleri’ olarak adlandırılan hem Medusa geliştiricileri hem de bağlı kuruluşlar, kurban verilerini şifreledikleri ve bir fidye ödenmezse söndürülmüş verileri kamuya açıklamakla tehdit ettikleri çift gasp modeli kullanıyorlar.”
Danışmanlığa göre, Medusa geliştiricileri genellikle kurbanların ortamlarına girmek için siber suçlulardaki ilk erişim brokerlerini kullanıyor. Saldırılar sırasında, Medusa aktörleri, AnyDesk, Atera, Connectwise, Ehorus, N-mümkün, PDQ dağıtım, PDQ Envanteri, SimpleHelp ve Splashtop gibi uzaktan erişim araçları da dahil olmak üzere yanal olarak hareket etmek için çok çeşitli meşru yazılımlar kullanır. Buna ek olarak, tehdit aktörleri, hedeflenen kullanıcılar, sistemler ve ağlar hakkında bilgi toplamak için sıklıkla gelişmiş IP tarayıcı ve softperfect ağ tarayıcısı kullanır.
Medusa yasal araçların arkasına saklanıyor
Ajanslar, Medusa aktörlerinin tipik olarak algılamadan kaçınma (LOTL) tekniklerini ve “artan karmaşıklığı” içeren birkaç güç tekniğini yürüttüğünü söyledi. Danışmanlığa göre bazı saldırıların temel bir bileşeni başvuruyor savunmasız veya imzalı sürücüler “Kendi savunmasız sürücünüzü getir” veya BYOVD saldırılarında bilinen şeyde. Danışmanlık, Medusa aktörlerinin BYOVD’yi bitiş noktası algılama ve yanıt ürünlerini öldürmek ve hatta silmek için kullandığını söyledi.
Bir Blog yazısı Geçen hafta, Symantec’in tehdit avcısı ekibi Medusa etkinliğinin 2024’te yıllık% 42 arttığını ve Ocak ve Şubat aylarında artmaya devam ettiğini belirtti. Araştırmacılar ayrıca, güvenlik yazılımlarını atlamak veya devre dışı bırakmak için Avkill ve Poortry gibi özel olarak geliştirilmiş kötü amaçlı araçların yanı sıra her iki meşru sürücünün de kapsamlı kullanımını vurguladılar.
Blog yazısı, “Byovd, son iki yılda fidye yazılımı saldırı zincirlerinde giderek daha fazla kullanılan bir teknik” dedi. “Hemen hemen tüm Medusa saldırılarında, Kilav ve ilişkili savunmasız sürücüler, saldırı zincirinin bu bölümünde sürücüleri indirmek ve güvenlik yazılımını devre dışı bırakmak için kullanılır.”
Symantec’in tehdit avcısı ekibi, Ocak ayında bir sağlık kuruluşuna karşı bir saldırıyı araştırdı ve Medusa aktörlerinin kuruluşun savunmalarını devre dışı bırakmak için Avkill, Fouldtry ve bilinmeyen bir sürücü kullandığını buldu. Saldırganlar ayrıca, veri açığa vurma ve Psexec için açık kaynaklı bir araç olan RCLone’u uzaktan komutlar vermek için kullandılar. Araştırmacılar, fidye yazılımı yürütülebilir dosyasının hedeflenen sistemleri ve dosyaları şifreledikten sonra kendini sildiğini belirtti.
CISA, FBI ve MS-ISAC, LOTL tekniklerini sınırlamak için komut satırı ve komut dosyası faaliyetleri ve izinler de dahil olmak üzere Medusa fidye yazılımı tehdidini azaltmak için birkaç adım önerdi. Danışman, “Ayrıcalık artış ve yanal hareket genellikle komut satırından geçen yazılım yardımcı programlarına bağlı” dedi. “Tehdit aktörleri bu araçları çalıştıramazlarsa, ayrıcalıkları artırmak ve/veya yanal olarak hareket etmekte zorluk çekeceklerdir.”