Специалисты по киберугрозам компании Palo Alto Networks (Unit 42) зафиксировали значительную эскалацию активности группировки Medusa, распространяющей одноименное вредоносное ПО для шифрования данных (ransomware). В 2023 году операторы угроз не только продолжили атаки, но и перешли к более агрессивной стратегии многоуровневого вымогательства. Новым инструментом давления стал запущенный в начале года даркнет-сайт под названием Medusa Blog, который используется для публикации украденных у жертв данных. Параллельно злоумышленники активно используют публичный канал в Telegram для аналогичных целей, что делает утечки информации более доступными.
Описание
Эволюция тактики вымогательства
Medusa функционирует по модели Ransomware-as-a-Service (RaaS, «вымогательское ПО как услуга») с конца 2022 года, специализируясь на атаках на системы Windows. Отличительной чертой 2023 года стало внедрение комплексного подхода к шантажу. Если организация отказывается платить выкуп, ее конфиденциальная информация публикуется на сайте Medusa Blog. На этом ресурсе злоумышленники демонстрируют жертвам тактику открытого давления: указывают цену за удаление данных, отсчитывают таймер до публикации файлов и показывают количество посетителей, уже увидевших компрометирующие материалы.
Кроме основного выкупа за ключ дешифрования, группировка предлагает пострадавшим платные опции: продление срока до утечки, удаление данных с сайта или возможность их скачивания. Стоимость этих услуг варьируется в зависимости от организации. Для усиления воздействия Medusa также использует канал в Telegram под названием «information support». Хотя канал не носит прямой брендинг группировки, в нем публикуются анонсы о взломах и выкладываются файлы жертв. Этот канал, созданный еще в 2021 году, стал дополнительным, более доступным каналом утечек по сравнению с традиционными сайтами в даркнете.
Глобальный масштаб и разнообразие целей
Согласно данным с сайта-утечки, в 2023 году жертвами Medusa стали 74 организации по всему миру. Наиболее пострадавшими секторами оказались высокие технологии, образование и производство. Однако атаки также затронули здравоохранение, гостиничный бизнес, некоммерческий сектор и сельское хозяйство. Такой широкий спектр жертв указывает на оппортунистический характер группировки, которая не концентрируется на одной отрасли. Географически наибольшее число инцидентов зафиксировано в США, значительное количество атак также произошло в Европе. Единичные случаи отмечены в Африке, Южной Америке и Азии, что подчеркивает глобальный масштаб угрозы.
Технические особенности и методы атаки
В ходе расследования инцидента специалисты Unit 42 выявили характерные инструменты и процедуры, используемые Medusa. Первичный доступ часто достигается через эксплуатацию уязвимостей в публичных сервисах, например, в Microsoft Exchange Server, куда загружается веб-оболочка (webshell). Для последующего контроля над системами злоумышленники используют легитимное программное обеспечение для удаленного управления, такое как ConnectWise, что является примером техники «живи за счет земли» (living-off-the-land), маскирующей вредоносную активность под обычные действия.
Особое внимание уделяется противодействию средствам защиты. Операторы Medusa применяют упакованные драйверы ядра, предназначенные для отключения или удаления процессов и файлов конкретных антивирусных продуктов. Для обфускации кода используются протекторы Safengine Shielden и ASM Guard. Для разведки в сети и последующего развертывания вредоносного ПО применяется модифицированная портативная версия сканера Netscan с предварительно настроенными скриптами на кириллице, что может указывать на языковую принадлежность разработчиков конфигурации.
Взгляд Medusa: анализ вредоносного ПО
Само вредоносное ПО, внутренне обозначаемое термином «Gaze» («Взгляд»), демонстрирует постоянное развитие. Исследователи отмечают увеличение версии с 1.10 в начале года до 1.20 к ноябрю. Программа использует аргументы командной строки для гибкой настройки процесса шифрования, например, исключения системных дисков или использования сетевых ресурсов. Критически важные строки в коде, такие как списки целевых процессов, служб и исключаемых папок, зашифрованы с помощью XOR.
Шифрование файлов жертв выполняется с помощью алгоритма AES-256, а ключ, в свою очередь, защищается асимметричным шифрованием RSA. Зашифрованным файлам присваивается расширение .medusa. Для затруднения восстановления данных ransomware выполняет команды удаления теневых копий томов (vssadmin). На каждом зараженном компьютере остается файл с требованиями выкупа под названием !!read_me_medusa!!.txt.
Выводы и рекомендации
Рост активности Medusa и ее переход к агрессивной тактике многоуровневого шантажа через публичные каналы подчеркивают эволюцию ландшафта угроз цифрового вымогательства. Группировка демонстрирует высокий уровень адаптивности, используя как технические уязвимости, так и методы социального давления. Универсальность и оппортунизм атак делают потенциальными жертвами организации по всему миру в самых разных отраслях.
Для противодействия подобным угрозам необходимы комплексные меры защиты. Критически важно своевременно обновлять программное обеспечение, особенно публичные сервисы, использовать решения нового поколения для мониторинга сетевой активности и конечных точек (Endpoint Detection and Response, EDR), а также регулярно проводить аудит безопасности для выявления и устранения уязвимостей до того, как они будут использованы злоумышленниками.
Индикаторы компрометации
Onion Domains
- Medusakxxtp3uo7vusntvubnytaph4d3amxivbggl3hnhpk2nmus34yd.onion
- medusaxko7jxtrojdkxo66j7ck4q5tgktf7uqsqyfry4ebnxlcbkccyd.onion
SHA256
- 4d4df87cf8d8551d836f67fbde4337863bac3ff6b5cb324675054ea023b12ab6
- 657c0cce98d6e73e53b4001eeea51ed91fdcf3d47a18712b6ba9c66d59677980
- 736de79e0a2d08156bae608b2a3e63336829d59d38d61907642149a566ebd270
- 7d68da8aa78929bb467682ddb080e750ed07cd21b1ee7a9f38cf2810eeb9cb95
- 9144a60ac86d4c91f7553768d9bef848acd3bd9fe3e599b7ea2024a8a3115669
