Возвращение Medusa Locker: анализ активности вымогательского ПО в конце 2025 года

Активность группировки была выявлена после обнаружения, что её старый onion-домен qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd[.]onion теперь перенаправляет на новый: 6i42qq2xdu244a3xp2c3gjvcwtp3hurbajesfnsuga2v3frf6x7ivcyd.onion. Сервер тикет-системы для переговоров работает на IP-адресе 95.143.191[.]148 (AS49505).

При анализе платформы для переговоров была обнаружена критическая ошибка конфигурации. Система, построенная на Node.js и Express.js, работает в режиме разработки с правами root-пользователя, что раскрывает внутренние пути к файлам и создает серьёзную уязвимость для удаленного выполнения кода (RCE). Например, в стек-трейсе видны пути вроде "/root/ticketsystem/app.js". Подобная небрежность в безопасности со стороны киберпреступников является необычной, но потенциально открывает возможности для противодействия их инфраструктуре.

Основной вектор атаки остаётся прежним: Medusa Locker функционирует как Ransomware-as-a-Service (RaaS), то есть услуга по распространению вымогательского ПО. Аффилиаты получают доступ к платформе для проведения собственных атак. В 2025 году наблюдается всплеск активности: обнаружено 31 новый образец, 28 из которых были скомпилированы 17 мая. Анализ показывает, что злоумышленники используют общий конструктор, о чём свидетельствует артефакт в коде с текстом о выборе новых настроек в панели управления.

После шифрования файлы получают различные расширения, которые служат идентификаторами аффилиатов. Среди новых обнаружены: meduza51, blackheart117, jackpot27, prey21 и hazard. При этом основной вредоносный код (payload) и методы работы (modus operandi) почти не изменились. Контактный email в одном из новых вариантов сменился на jacobmccole1967@onionmail[.]com.

Отдельной проблемой, отмеченной в исследовании, является путаница в именовании. Некоторые варианты Medusa Locker ошибочно классифицируются аналитиками и системами как самостоятельные семейства вымогательского ПО. Например, вариант BabylockerKZ, описанный Cisco Talos, на самом деле является частью экосистемы Medusa Locker. Использование разных названий для одного и того же семейства вредоносного ПО создаёт ненужный информационный шум и усложняет охоту за угрозами (Threat Hunting), поскольку правила сигнатур часто нацелены на конкретные имена, а не на общую тактику.

Группировка продолжает свою деятельность, ориентируясь как на корпоративный сектор, так и на частных пользователей. Её бизнес-модель уникальна отсутствием публичного давления через утечки данных и неизвестными условиями распределения прибыли с аффилиатами. В то время как другие RaaS-платформы открыто заявляют о процентах, Medusa Locker ведёт дела скрытно. Устойчивость её инфраструктуры, несмотря на утечки и ошибки конфигурации, свидетельствует о продолжении угрозы. Организациям рекомендуется обращать внимание на указанные индикаторы компрометации (IOC), включая хэши MD5, мутексы и сетевые адреса, и укреплять базовую кибергигиену для противодействия подобным атакам.

Onion Domains

• medusacegu2ufmc3kx2kkqicrlcxdettsjcenhjena6uannk5f4ffuyd.onion
• medusaxko7jxtrojdkxo66j7ck4q5tgktf7uqsqyfry4ebnxlcbkccyd.onion
• qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion
• z6wkgghtoawog5noty5nxulmmt2zs7c3yvwr22v4czbffdoly2kl4uad.onion

Emails

• bestcool@keemail.me
• ctorsenoria@tutanoa.com
• fartcool@protonmail.ch
• folieloi@protonmail.com
• githelpernetwork@decorous.cyou
• help_24_decr1@outlook.com
• help_24_decr2@outlook.com
• ithelp@decorous.cyou
• ithelp@wholeness.business
• ithelp01@decorous.cyou
• ithelp01@wholeness.business
• ithelp02@decorous.cyou
• ithelp02@wholeness.business
• ithelp03@decorous.cyou
• ithelp03@wholeness.business
• ithelp04@decorous.cyou
• ithelp04@wholeness.business
• ithelp06@decorous.cyou
• ithelp06@wholeness.business
• ithelp07@decorous.cyou
• ithelp07@wholeness.business
• ithelp08@decorous.cyou
• ithelp08@wholeness.business
• ithelp09@decorous.cyou
• ithelp09@wholeness.business
• ithelpconcilium@tutanota.com
• ithelpernetwork@wholeness.business
• jacobmccole1967@onionmail.com
• mrromber@cock.li
• mrromber@tutanota.com
• nicolasmarvinlor@outlook.com
• ransom.data@gmail.com
• restoreassistance_net@decorous.cyou
• restoreassistance_net@wholeness.business
• rightcheck@cock.li
• sambolero@tutanota.com
• suppdecrypt@cock.li
• suppdecrypt@protonmail.com
• sypress@protonmail.com
• tanoss@protonmail.com

MD5

• 47386ee20a6a94830ee4fa38b419a6f7
• 4dd5b74300696b37f78d1b36250fd88b