14/07/25
Публикация была приурочена к запуску нового сайта утечек и сопровождалась демонстрацией двух жертв — из США и Бразилии. Это стало первой громкой акцией после возвращения RansomedVC на киберсцену.
Основное внимание RansomedVC уделила обнародованию чатов Medusa, датированных с 11 декабря 2022 года по март 2023-го. Судя по переписке, группировка использовала аккаунт с именем MediaTeam для продвижения своих действий в Telegram и на YouTube, пишет Securitylab.
При получении доступа к системам требовались дампы хэшей, а в качестве облачных хранилищ Medusa предпочитала сервисы put.io с тарифом на 10 ТБ и Mega Pro 2. Информацию о версиях программного обеспечения жертв участники собирали из официальной документации компаний. Для работы с руткитами применялась утилита GMER, а для извлечения паролей — Volatility и инструменты для LSADump. В списке упоминаемых целей фигурировали Green Cloud и StoreOnce.
Публикация раззговоров совпала по дате с созданием новой версии сайта утечек RansomedVC — 8 июля 2025 года. Это говорит о том, что утечка готовилась заранее и должна была усилить интерес к группе, проверив реакцию на первых двух жертв. Тем самым RansomedVC стремится заявить о себе как о серьёзном игроке в экосистеме вымогателей, одновременно стараясь подорвать репутацию конкурентов.
По содержанию чатов видно, что Medusa уделяет внимание продуктам Fortinet: и в переписке, и в событиях 2024 года упоминаются эксплуатации SQL-инъекций в этих системах. Вся активность указывает на ориентацию на США — именно эта страна упоминается чаще всего в целях.
