İlgili tehdit aktörleri Medusa fidye yazılımı taleplerini kabul etmek istemeyen kurbanların hassas verilerini yayınlamak için Şubat 2023’te karanlık ağda özel bir veri sızıntısı sitesinin hizmete girmesinin ardından faaliyetlerini hızlandırdılar.
Palo Alto Networks Birimi 42 araştırmacısı Anthony, “Çoklu gasp stratejilerinin bir parçası olarak, bu grup kurbanlara, verileri sızıntı sitelerinde yayınlandığında süre uzatımı, verilerin silinmesi veya tüm verilerin indirilmesi gibi birden fazla seçenek sunacak.” Galiette ve Doel Santos, The Hacker News ile paylaşılan bir raporda şunları söyledi.
“Tüm bu seçeneklerin, bu gruptan etkilenen kuruluşa bağlı olarak bir fiyat etiketi var.”
Medusa (Medusa Locker ile karıştırılmamalıdır), 2022’nin sonlarında ortaya çıkan ve 2023’te ön plana çıkan bir fidye yazılımı ailesini ifade eder. Yüksek teknoloji, eğitim, üretim, sağlık ve perakende gibi çok çeşitli endüstrileri fırsatçı bir şekilde hedeflemesiyle bilinir. .
Çoğu ABD, İngiltere, Fransa, İtalya, İspanya ve Hindistan’da olmak üzere 74 kadar kuruluşun 2023 yılında fidye yazılımından etkileneceği tahmin ediliyor.
Grup tarafından düzenlenen fidye yazılımı saldırıları, internete yönelik varlıkların veya bilinen yamalanmamış güvenlik açıklarına sahip uygulamaların istismar edilmesi ve meşru hesapların ele geçirilmesiyle başlıyor ve genellikle hedef ağlara bir dayanak noktası elde etmek için ilk erişim aracılarını kullanıyor.
Siber güvenlik firmasının gözlemlediği bir örnekte, bir web kabuğunu yüklemek için Microsoft Exchange Sunucusu’ndan yararlanıldı ve bu daha sonra ConnectWise uzaktan izleme ve yönetim (RMM) yazılımını yüklemek ve yürütmek için bir kanal olarak kullanıldı.
Enfeksiyonların dikkate değer bir yönü, meşru faaliyet ve yan adım tespiti ile uyum sağlamak için arazide yaşama (LotL) tekniklerine güvenilmesidir. Ayrıca, sabit kodlanmış güvenlik ürünleri listesini sonlandırmak için bir çift çekirdek sürücüsünün kullanıldığı da gözlemlendi.
İlk erişim aşamasını, ele geçirilen ağın keşfedilmesi ve keşfedilmesi takip eder; aktörler sonuçta .dll, .exe, .lnk ve .medusa (uzantı verilmiştir) uzantılarına sahip olanlar için kaydedilen tüm dosyaları numaralandırmak ve şifrelemek üzere fidye yazılımını başlatır. şifrelenmiş dosyalara).
Medusa’nın sızıntı sitesi, ele geçirilen her kurban için organizasyonlar, talep edilen fidye, çalınan verilerin kamuya açıklanmasına kalan süre ve şirket üzerinde baskı oluşturmak amacıyla izlenme sayısı hakkında bilgiler gösteriyor.
Aktörler ayrıca mağdura farklı seçenekler sunuyor; bunların tümü, çalınan verileri silmek veya indirmek için bir tür şantaj içeriyor ve verilerin yayınlanmasını önlemek için bir süre uzatımı talep ediyor.
Fidye yazılımı teknoloji şirketlerini, sağlık hizmetlerini, kritik altyapıyı ve aradaki her şeyi hedef alarak yaygın bir tehdit olmaya devam ederken, arkasındaki tehdit aktörleri de taktikleriyle daha da küstahlaşıyor ve fiziksel şiddet tehditlerine başvurarak kuruluşları kamuya açık bir şekilde adlandırmanın ve utandırmanın ötesine geçiyor. ve hatta özel halkla ilişkiler kanalları.
Geçen ay Sophos araştırmacıları fidye yazılımı çetelerini “giderek medya meraklısı” olarak nitelendirerek, “Fidye yazılımı tehdit ortamının birçok yönünü değiştirdi, ancak son zamanlardaki en önemli gelişme, giderek artan metalaşması ve profesyonelleşmesidir” dedi.
Birim 42’ye göre Medusa, yalnızca markalaşma çabalarını yürütecek bir medya ekibine sahip olmakla kalmıyor, aynı zamanda ele geçirilen kuruluşların dosyalarının paylaşıldığı ve clearnet üzerinden erişilebildiği “bilgi desteği” adlı halka açık bir Telegram kanalından da yararlanıyor. Kanal Temmuz 2021’de kuruldu.
Araştırmacılar, “Medusa fidye yazılımının 2022’nin sonlarında ortaya çıkması ve 2023’te kötü şöhrete kavuşması, fidye yazılımı ortamında önemli bir gelişmeye işaret ediyor” dedi. “Bu operasyon, hem sistem açıklarından hem de ilk erişim aracılarından yararlanan ve arazi dışında yaşama teknikleri yoluyla tespit edilmekten ustaca kaçınan karmaşık yayılma yöntemlerini sergiliyor.”
Gelişme, Arctic Wolf Labs’ın, Akira ve Royal fidye yazılımı çetelerinin kurbanlarının, ikincil gasp girişimleri için güvenlik araştırmacısı kılığına giren kötü niyetli üçüncü taraflarca hedef alındığı iki vakayı duyurmasının ardından geldi.
Güvenlik araştırmacıları Stefan Hostetler ve Steven Campbell, “Tehdit aktörleri, sızdırılan verileri silmek için ilgili orijinal fidye yazılımı gruplarının sunucu altyapısını hacklemeyi teklif ederek mağdur kuruluşlara yardım etmeye çalıştıkları yönünde bir hikaye uydurdular.” hizmet karşılığında takas yapın.
Bu aynı zamanda Finlandiya Ulusal Siber Güvenlik Merkezi’nin (NCSC-FI), Cisco VPN cihazlarındaki bir güvenlik kusurundan (CVE-2023-20269, CVSS) yararlanılarak 2023’ün sonlarına doğru ülkede Akira fidye yazılımı olaylarında meydana gelen artışa ilişkin yeni bir tavsiyesinin ardından geldi. puan: 5.0) yerli kuruluşların ihlal edilmesi.