Die mit der Medusa-Ransomware verbundenen Bedrohungsakteure haben ihre Aktivitäten seit dem Start einer dedizierten Datenleck-Website im Dark Web im Februar 2023 verstärkt, um sensible Daten von Opfern zu veröffentlichen, die ihren Forderungen nicht nachgeben wollen. Die Gruppe bietet den Opfern im Rahmen ihrer Multi-Erpressungsstrategie verschiedene Optionen an, wenn ihre Daten auf der Leak-Site veröffentlicht werden. Dazu gehören Zeitverlängerung, Datenlöschung oder der Download aller Daten. Jede dieser Optionen hat einen Preis, der von der betroffenen Organisation abhängt. Medusa ist eine Ransomware-Familie, die Ende 2022 aufgetaucht ist und 2023 in den Vordergrund gerückt ist. Sie zielt opportunistisch auf eine Vielzahl von Branchen ab, darunter Hochtechnologie, Bildung, Fertigung, Gesundheitswesen und Einzelhandel. Schätzungsweise wurden im Jahr 2023 bis zu 74 Organisationen, vor allem in den USA, Großbritannien, Frankreich, Italien, Spanien und Indien, von der Ransomware betroffen.
Die von der Gruppe orchestrierten Ransomware-Angriffe beginnen mit der Ausnutzung von internetbasierten Assets oder Anwendungen mit bekannten ungepatchten Schwachstellen und der Übernahme legitimer Accounts. Oft werden dabei initiale Zugriffsbroker eingesetzt, um einen Einstiegspunkt für die Zielsysteme zu erhalten. In einem Fall wurde ein Microsoft Exchange Server ausgenutzt, um eine Webshell hochzuladen, die dann als Kanal verwendet wurde, um die ConnectWise Remote Monitoring and Management (RMM) Software zu installieren und auszuführen. Eine bemerkenswerte Eigenschaft der Infektionen ist die Verwendung von „Living-off-the-Land“ (LotL)-Techniken, um sich mit legitimen Aktivitäten zu vermischen und eine Erkennung zu umgehen. Es wurde auch beobachtet, dass ein Paar von Kernel-Treibern verwendet wurde, um eine fest codierte Liste von Sicherheitsprodukten zu beenden. Nach dem initialen Zugriff folgt die Entdeckung und Aufklärung des kompromittierten Netzwerks, bevor die Ransomware gestartet wird, um alle Dateien zu verschlüsseln, abgesehen von denen mit den Erweiterungen .dll, .exe, .lnk und .medusa (die Erweiterung, die den verschlüsselten Dateien gegeben wird).
Für jedes betroffene Opfer zeigt Medusas Leak-Site Informationen über die Organisationen, die geforderte Lösegeldsumme, die verbleibende Zeit, bevor die gestohlenen Daten öffentlich veröffentlicht werden, und die Anzahl der Aufrufe an, um Druck auf das Unternehmen auszuüben. Die Täter bieten dem Opfer auch verschiedene Auswahlmöglichkeiten an, die alle eine Form der Erpressung beinhalten, um die gestohlenen Daten zu löschen oder herunterzuladen und eine Fristverlängerung zu beantragen, um die Veröffentlichung der Daten zu verhindern.
Während sich Ransomware weiterhin als weit verbreitete Bedrohung erweist und sowohl Technologieunternehmen als auch Gesundheitseinrichtungen und alles dazwischen ins Visier nimmt, werden die Täter immer dreister in ihren Taktiken. Sie gehen dabei über das öffentliche Nennen und Bloßstellen von Organisationen hinaus und greifen sogar zu Drohungen mit physischer Gewalt und dedizierten Public-Relations-Kanälen. Laut Sophos-Forschern hat sich Ransomware in letzter Zeit professionalisiert und ist immer mehr zu einem Massenprodukt geworden.
Medusa hat nicht nur ein Media-Team zur Bearbeitung ihrer Markenaktivitäten, sondern nutzt auch einen öffentlichen Telegram-Kanal namens „Informationsunterstützung“, auf dem Dateien von kompromittierten Organisationen geteilt und über das Clearnet abgerufen werden können. Der Kanal wurde im Juli 2021 eingerichtet. Die Forscher bezeichnen die Entstehung von Medusa Ende 2022 und ihre Bekanntheit im Jahr 2023 als eine bedeutende Entwicklung im Bereich Ransomware. Diese Operation zeige komplexe Verbreitungsmethoden, bei denen sowohl Systemlücken als auch initialer Zugriff durch Dritte genutzt würden und geschickt durch „Living-off-the-Land“-Techniken unentdeckt blieben.
Diese Entwicklung erfolgt, nachdem Arctic Wolf Labs zwei Fälle publik gemacht hat, in denen Opfer von Akira- und Royal-Ransomware-Banden von bösartigen Dritten angegriffen wurden, die sich als Sicherheitsforscher ausgaben, um sekundäre Erpressungsversuche zu unternehmen. Es wurde auch eine neue Warnung des finnischen Nationalen Cyber-Sicherheitszentrums (NCSC-FI) veröffentlicht, in der von einem Anstieg der Akira-Ransomware-Vorfälle im Land gegen Ende 2023 berichtet wurde. Dabei wurde eine Sicherheitslücke in Cisco VPN Appliances (${match}, CVSS-Wertung: 5.0) ausgenutzt, um in nationale Einrichtungen einzudringen.