2min Security

Medusa ransomware versteent bestanden

Medusa ransomware versteent bestanden

Unit 42, de onderzoeksgroep van Palo Alto Networks, publiceert een onderzoek gepubliceerd waarin men aantoont dat in de meest recente ransomware-activiteit data-exploitatie mogelijk 74 organisaties wereldwijd trof. Het gaat daarbij om 2023. De ransomware treft verschillende sectoren, waaronder hightech, onderwijs, productie en gezondheidszorg. Als onderdeel van de multi-extortionstrategie biedt deze groep slachtoffers meerdere opties wanneer hun gegevens op hun dedicated leak site (DLS) worden geplaatst. Denk aan zoals tijdverlenging, gegevensverwijdering of het downloaden van alle gegevens.

Kwetsbare diensten

Criminelen voeren de aanvallen uit met Medusa ransomware. Het dook eind 2022 op als een ransomware-as-a-service (RaaS)-platform. Het kreeg bekendheid begin 2023, voornamelijk gericht op Windows-omgevingen. Medusa verspreidt ransomware voornamelijk via de exploitatie van kwetsbare diensten. En door het kapen van legitieme accounts. Hierbij gebruikt men vaak initiële toegangsbrokers voor infiltratie.

Speciale ‘lek’-site

Analisten van Unit 42 Threat Intelligence merkten een escalatie op in de activiteiten van Medusa ransomware. En tevens een verschuiving van de afpersingstactiek. Dit wordt gekenmerkt door de introductie begin 2023 van hun speciale ‘lek’-site genaamd het Medusa Blog. Medusa-dreigingsactoren gebruiken deze site om gevoelige gegevens vrij te geven van slachtoffers die niet willen voldoen aan hun losgeldeisen.

Als onderdeel van hun multi-extortionstrategie biedt deze groep de slachtoffers meerdere opties wanneer hun gegevens op de leksite worden geplaatst, zoals tijdverlenging, gegevensverwijdering of het downloaden van alle gegevens. Aan al deze opties hangt een prijskaartje. De ‘prijs’ afhankelijk van de organisatie die deze groep wordt treft.

Telegram-kanaal

Naast hun strategie om een ‘onion’-site te gebruiken voor afpersing, maken Medusa-dreigingsactoren ook gebruik van een openbaar Telegram-kanaal genaamd “information support”, waar bestanden van gecompromitteerde organisaties openbaar worden gedeeld en toegankelijker zijn dan traditionele onionsites. Het Incident Response-team van Unit 42 heeft ook gereageerd op een Medusa ransomware-incident, waardoor er interessante tactieken, tools en procedures zijn ontdekt die worden gebruikt door Medusa-dreigingsactoren.