Medusa fidye yazılımlarının arkasındaki tehdit aktörleri, Ocak 2023’te ilk ortaya çıkmasından bu yana yaklaşık 400 kurban iddia etti ve finansal olarak motive edilen saldırılar 2023 ve 2024 arasında% 42’lik bir artışa tanık oldu.
Hacker News ile paylaşılan bir raporda Symantec Tehdit Hunter ekibinin verilerine göre, sadece 2025’in ilk iki ayında grup 40’tan fazla saldırı talep etti. Siber güvenlik şirketi, Spearwing adı altında kümeyi izliyor.
Synantec, “Fidye yazılımı operatörlerinin çoğunluğu gibi, Spearwing ve bağlı kuruluşları da çift gasp saldırıları gerçekleştiriyor, kurbanların fidye ödeme baskısını artırmak için ağları şifrelemeden önce kurbanların verilerini çalıyor.”
“Mağdurlar ödemeyi reddederse, grup çalınan verileri veri sızıntıları sitesinde yayınlamakla tehdit ediyor.”
Ransomhub (aka Greenbottle ve Cyclops), oyun (aka balonfly) ve Qilin (aka gündemi, kokuk ve su galurası) gibi diğer fidye yazılımı (RAAS) oyuncuları, kilitli ve karavarların bozulmalarından faydalanmasından yararlanırken, Medus enfeksiyonlarındaki enfeksiyonun, tehdit eyleminde yer alabileceğinden, tehdit eyleminin güçlenmesi olasılığını arttırır. üretken gaspçılar.
Geliştirme, fidye yazılımı manzarasının, son aylarda vahşi doğada ortaya çıkan Anubis, Cipherlocker, Core, Dange, Lcryx, Loches, VGOD ve Xelera gibi düzenli bir yeni RAAS operasyonları akışı ile devam ettikçe ortaya çıkıyor.
Medusa, sağlık hizmeti sağlayıcılarından ve kar amacı gütmeyen kuruluşlardan 100.000 ila 15 milyon dolar arasında herhangi bir yerde talep eden fidye kaydı ve finans ve devlet kuruluşlarını hedef alıyor.
Fidye yazılımı sendikası tarafından monte edilen saldırı zincirleri, başlangıç erişimi elde etmek için, genel olarak Microsoft Exchange Server olmak üzere kamuya açık uygulamalarda bilinen güvenlik kusurlarının kullanılmasını içerir. Ayrıca, tehdit aktörlerinin ilgi çekici ağları ihlal etmek için başlangıç erişim brokerlerini kullandıklarından da şüpheleniliyor.
Başarılı bir dayanak kazandıktan sonra, bilgisayar korsanları, SimpleHelp, Anydesk veya kalıcı erişim için örtülü uzaktan yönetim ve izleme (RMM) yazılımlarını kullanır ve denenmiş ve test edilmiş, Kilav kullanarak antivirüs işlemlerini sonlandırmak için kendi savunmasız sürücü (BYOVD) tekniğinizi getirir. Killav’ın daha önce Blackcat fidye yazılımı saldırılarında kullanıma sunulduğuna dikkat çekmeye değer.
Symantec, “Meşru RMM Software PDQ dağıtımının kullanımı, Medusa fidye yazılımı saldırılarının bir başka ayırt edici özelliğidir.” Dedi. “Genellikle saldırganlar tarafından diğer araçları ve dosyaları bırakmak ve kurban ağına yanal olarak hareket etmek için kullanılır.”
Medusa fidye yazılımı saldırısı boyunca dağıtılan diğer araçlardan bazıları, veri açığa çıkması için veritabanı sorgularına, robokopi ve rclone’a erişmek ve çalıştırmak için navicat içerir.
Symantec, “Hedeflenen fidye yazılımı grubu gibi, Spearwing de çeşitli sektörlerde büyük organizasyonlara saldırma eğilimindedir.” Dedi. “Fidye yazılımı grupları, herhangi bir ideolojik veya ahlaki hususla değil, sadece kârla yönlendirilme eğilimindedir.”