Ransomware Medusa: Aumento delle Attività e Tattiche di Multi-Estorsione
Gli attori minacciosi associati al ransomware Medusa hanno recentemente intensificato le loro attività, adottando tattiche più audaci e un’approccio di multi-estorsione. Questo aumento di aggressività segue il lancio, nel febbraio 2023, di un sito dedicato sul dark web, atto a pubblicare i dati sensibili delle vittime che si rifiutano di acconsentire alle richieste del gruppo.
Come parte della loro strategia di multi-estorsione, i criminali dietro il ransomware Medusa offrono alle vittime diverse opzioni quando i loro dati vengono pubblicati sul sito delle fughe. Queste opzioni includono la possibilità di prolungare il tempo, cancellare i dati o scaricare l’intero set di informazioni trafugate. Tuttavia, tutte queste opzioni hanno un prezzo, variabile in base all’organizzazione colpita.
Il ransomware Medusa, emerso alla fine del 2022 e diventato prominente nel corso del 2023, è noto per il suo targeting opportunista in una vasta gamma di settori, tra cui alta tecnologia, istruzione, produzione, assistenza sanitaria e commercio al dettaglio. Nel corso del 2023, si stima che il ransomware abbia colpito fino a 74 organizzazioni, con una particolare concentrazione negli Stati Uniti, nel Regno Unito, in Francia, Italia, Spagna e India.
Gli attacchi orchestrati da questo gruppo iniziano con lo sfruttamento di vulnerabilità note su asset o applicazioni esposte su Internet e l’usurpazione di account legittimi. Spesso, vengono impiegati broker di accesso iniziale per ottenere un punto di ingresso nelle reti target. In un esempio osservato, è stato sfruttato un server Microsoft Exchange per caricare una web shell, utilizzata come ponte per installare e eseguire il software di monitoraggio e gestione remota ConnectWise.
Una caratteristica notevole di questi attacchi è l’uso di tecniche “living-off-the-land” (LotL) per mescolarsi con attività legittime e sfuggire alla rilevazione. Inoltre, è stato osservato l’utilizzo di driver del kernel per terminare un elenco predeterminato di prodotti di sicurezza.
La fase iniziale di accesso è seguita dalla scoperta e dalla ricognizione della rete compromessa. Gli attori procedono quindi con l’esecuzione del ransomware per enumerare e cifrare tutti i file, ad eccezione di quelli con estensioni come .dll, .exe, .lnk e .medusa (l’estensione data ai file cifrati).
Il sito delle fughe di Medusa mostra informazioni dettagliate su ogni vittima, tra cui l’organizzazione coinvolta, il riscatto richiesto, il tempo rimasto prima della pubblicazione dei dati rubati e il numero di visualizzazioni. Questo approccio mira a esercitare pressione sulle aziende coinvolte.
Gli attori offrono alle vittime diverse opzioni di estorsione, coinvolgendo forme di pagamento per eliminare o scaricare i dati trafugati e richiedere una proroga per evitare la pubblicazione delle informazioni.
Il ransomware Medusa, oltre ad avere un team dedicato per le attività mediatiche, utilizza anche un canale Telegram pubblico chiamato “supporto informazioni”. In questo canale vengono condivisi file di organizzazioni compromesse, accessibili anche attraverso il clearnet, evidenziando una crescente professionalizzazione e commercializzazione delle operazioni di ransomware.
Questi sviluppi arrivano in un contesto in cui le vittime di altri gruppi di ransomware, come Akira e Royal, sono state bersaglio di terze parti malintenzionate che si sono presentate come ricercatori di sicurezza. Questi attori hanno tentato estorsioni secondarie, offrendosi di eliminare i dati esfiltrati attraverso l’accesso alle infrastrutture dei gruppi ransomware originali coinvolti.
Il ransomware continua a rappresentare una minaccia diffusa, coinvolgendo settori che vanno dalle aziende tecnologiche all’assistenza sanitaria e alle infrastrutture critiche. Gli attori dietro queste operazioni sono sempre più audaci nelle loro tattiche, oltre a minacce pubbliche e canali dedicati alle relazioni pubbliche, evidenziando la crescente professionalizzazione di questo tipo di attività criminale.