Группа Medusa, предоставляющая услуги ransomware-as-a-service (RaaS), к началу 2026 года вошла в десятку наиболее активных операторов программ-вымогателей. По данным совместного консультативного сообщения CISA (Агентство по кибербезопасности и инфраструктурной безопасности США) и ФБР, жертвами её атак стали более 500 организаций. Эксперты компании Darktrace, специализирующейся на решениях в области искусственного интеллекта для кибербезопасности, проанализировали тактики группы и выявили ключевую тенденцию: массовое злоупотребление легитимными инструментами удалённого мониторинга и управления (RMM).
Описание
Эволюция угрозы и способы проникновения
Группа Medusa, также известная под альясом Storm-1175, демонстрирует беспринципность, атакуя организации всех секторов, включая здравоохранение. Она использует тактику тройного шантажа, сочетая шифрование данных, угрозы обнародовать информацию и оказание дополнительного давления через DDoS-атаки. Для первоначального доступа к сетям жертв злоумышленники часто покупают доступ у посредников, которые используют фишинг или атаки подбора учётных данных.
Кроме того, активно эксплуатируются уязвимости в публично доступных системах. В частности, в конце 2025 года Microsoft сообщила об использовании группой уязвимости в Fortra GoAnywhere MFT. Ранее Zencec задокументировал эксплуатацию нескольких уязвимостей в программном обеспечении для удалённой поддержки SimpleHelp. Эти инструменты, наряду с другими, такими как ConnectWise ScreenConnect, становятся основными векторами атак.
Злоупотребление RMM: невидимая угроза внутри сети
Анализ инцидентов, проведённый Darktrace в период с декабря 2023 по ноябрь 2025 года, показывает, что после проникновения Medusa активно злоупотребляет легитимными RMM-инструментами. В большинстве исследованных сред, где наблюдались попытки шифрования, также фиксировались необычные подключения, связанные с JWrapper - легальным инструментом для распространения Java-приложений. Многие целевые IP-адреса были связаны с серверами SimpleHelp или платформой Atera.
Особенно популярен у злоумышленников SimpleHelp. Скомпрометировав сервер управления, они редактируют его конфигурационные файлы, чтобы переориентировать агентов RMM на серверы под своим контролем. Этот инструмент используется не только для обеспечения устойчивости (persistence) и управления, но и для горизонтального перемещения по сети, загрузки дополнительных вредоносных инструментов, эксфильтрации данных и даже запуска бинарных файлов программы-вымогателя. Подобным образом Medusa использует и другие инструменты, включая AnyDesk, TeamViewer и NinjaOne, что позволяет маскировать активность под легитимные административные задачи.
Кейс: атака через SimpleHelp в действии
В четвёртом квартале 2025 года Darktrace расследовала инцидент в европейской компании, где было задействовано Autonomous Response (Автономное реагирование). Несмотря на частичный охват сети и настройки, требующие ручного подтверждения действий, интеграция с данными от CrowdStrike позволила восстановить цепочку атаки.
После первоначального сканирования сети и перемещения с использованием RDP и PowerShell злоумышленники применили технику BYOVD (Bring Your Own Vulnerable Driver), чтобы отключить антивирусные процессы. Затем они использовали утилиту PDQ Deploy для распространения по сети исполняемого файла, связанного с SimpleHelp. Вскоре несколько устройств в сети начали устанавливать соединения с управляющими серверами SimpleHelp, находящимися под контролем злоумышленников.
Ключевым этапом стала эксфильтрация данных. Файловый сервер загрузил примерно 70 ГБ данных на внешний домен erp.ranasons[.]com. Искусственный интеллект Darktrace Cyber AI Analyst автоматически связал отдельные события управления и утечки в единый инцидент, предоставив полную картину атаки. Также наблюдалась загрузка дополнительных инструментов через файлообменный сервис Filemail, который ранее использовался группой Medusa. Финальным этапом стало выполнение бинарного файла gaze.exe и появление на устройствах файлов с требованием выкупа !!!READ_ME_MEDUSA!!!.txt.
Выводы и рекомендации
Злоупотребление легитимными RMM-инструментами стало излюбленной тактикой продвинутых групп, включая программы-вымогатели. Это позволяет им имитировать действия системных администраторов и уклоняться от обнаружения, поскольку средства безопасности часто доверяют таким инструментам по умолчанию.
Для снижения рисков организациям необходимо немедленно применять обновления безопасности для публично доступных RMM-серверов. Кроме того, критически важным становится внедрение решений для обнаружения аномалий на основе ИИ. Такие системы, как Darktrace / NETWORK, способны отличить легитимную административную активность от вредоносной. Функция Autonomous Response позволяет автоматически применять меры сдерживания, останавливая атаки на ранних стадиях, до начала шифрования данных. Комплексная видимость сети и возможность автономного реагирования становятся необходимыми элементами защиты даже от такой изощрённой угрозы, как Medusa.
Индикаторы компрометации
IPv4
- 143.110.243.154
- 144.217.181.205
- 185.108.129.62
- 185.126.238.119
- 213.183.63.41
- 213.183.63.42
- 31.220.45.120
- 89.36.161.12
- 91.92.246.110
IPv4 Port Combinations
- 193.37.69.154:7070
- 45.9.149.112:15330
Domains
- erp.ranasons.com
- lirdel.com
- pruebas.pintacuario.mx
URLs
- 44.235.83.125/a.msi
- wizarr.manate.ch/108.215.180.161:8585/$/1dIL5
