14/03/25
Об этом говорится в совместном предупреждении CISA, ФБР и MS-ISAC. По данным ведомств, к февралю 2025 года группировка атаковала компании в сфере здравоохранения, образования, юриспруденции, страхования, технологий и производства, пишет Securitylab.
Группа Medusa появилась ещё в январе 2021 года, но активно заявила о себе лишь в 2023-м, когда создала свой блог Medusa Blog, где выкладывает украденные данные в случае отказа жертв платить выкуп. Группировка громко напомнила о себе в марте 2023 года, атаковав государственные школы Миннеаполиса и опубликовав видео с похищенной информацией. В ноябре 2023 года Medusa выложила в сеть файлы, якобы украденные у Toyota Financial Services , после того как компания отказалась платить $8 миллионов в качестве выкупа.
Первоначально Medusa работала как закрытая группа, контролирующая все этапы атак, но со временем эволюционировала в модель Ransomware-as-a-Service (RaaS), позволяя другим киберпреступникам участвовать в атаках. Разработчики Medusa остаются ключевыми фигурами, ведя переговоры о выкупах и управляя внутренними процессами. Для первичного взлома группировка нанимает брокеров доступа (IAB) на теневых форумах, предлагая им суммы от $100 до $1 миллиона.
После проникновения хакеры отключают защитное ПО и запускают исполняемый файл, который завершает работу критически важных сервисов, удаляет теневые копии и шифрует данные с использованием AES-256. Файлы получают расширение «.medusa», а жертве оставляют записку с требованиями выкупа.
Medusa следует схеме двойного вымогательства: киберпреступники не только шифруют данные, но и угрожают их публикацией, если жертва не заплатит. В ходе расследований выяснилось, что Medusa может использовать и тройное вымогательство, требуя повторных платежей под предлогом получения «настоящего» дешифратора.
Важной проблемой остаётся путаница с названиями. Помимо вымогателей Medusa, существуют другие киберугрозы с таким же именем, включая ботнет на основе Mirai и модификацию для Android под названием TangleBot. Это часто приводит к ошибочному опредлению атак и смешению с другой активной группировкой — MedusaLocker , хотя они не связаны.
