Поделиться
Троян-шифровальщик Medusa серийно атакует объекты критической инфраструктуры
Не менее 400 организаций пострадали за последние три года от действий шифровальной группировки Medusa. Злоумышленники используют «партнерскую» модель, но сохраняют контроль над операцией в целом
Ведают, что творят
Агентство по защите киберпространства и критической инфраструктуры США (CISA) опубликовало очередной бюллетень - на этот раз в партнерстве с ФБР и Центром анализа и обмена информацией между штатами (MS-ISAC), в котором утверждается, что шифровальщик Medusa атаковал за последние месяцы не менее 300 организаций, относящихся к критической инфраструктуре. В числе пострадавших - медицинские, образовательные, юридические учреждения, страховые компании, технологический и производственный сектор.
Интересно, что под названием Medusa фигурирует множество не связанных между собой группировок.
Под этим же наименованием функционирует ботнет на базе кода Mirai - который может загружать шифровальщики в атакованные системы, а также вредонос под ОС Android, известный под еще одним названием - TangleBot.
Как отмечается в материале издания Bleeping Computer, существует также шифровальщик MedusaLocker. Но в данном случае речь идет другой угрозе - шифровальщике, впервые замеченном в январе 2021 г. Стоящая за ним группировка перешла к активной деятельности перешедшей лишь в 2023-м г. Тогда же злоумышленники завели себе целый сайт Medusa Blog, где публиковали данные, украденные в ходе атак у пострадавших организаций. Тем самым они пытались заставить жертв раскошелиться.
За время активной деятельности группировки, жертвами Medusa стали более 400 разных организаций. В марте 2023 г. хакеры атаковали общеобразовательный округ Миннеаполиса. Позднее, в ноябре того же года, злоумышленники опубликовали данные, украденные из инфраструктуры подразделения Toyota по оказанию финансовых услуг: Toyota тогда наотрез отказалась платить выкуп, который требовали злоумышленники - $8 млн.
От ста до миллиона
Medusa изначально использовалась только одной группой киберпреступников, которые вели и разработку, и непосредственные атаки.
Спустя некоторое время, впрочем, злоумышленники переключились на модель RaaS (шифровальщик как услуга), и, по данным CISA, начали активно вербовать «партнеров» на киберкриминальных площадках, обещая выплаты от $100 до миллиона долларов и «возможность эксклюзивного сотрудничества».
«Злоумышленники прекрасно знают, какие последствия могут иметь атаки на объекты критической инфраструктуры, и насколько они могут сделать сговорчивыми операторов», - говорит Никита Павлов, эксерт по информационной безопасности компании SEQ. «Остановка функционирования таких предприятий косвенно, а то и прямо угрожает жизням, и вымогатели используют это как рычаг давления. Но в большинстве случаев такие атаки предотвратимы и их даже нельзя назвать особенно технологичными: точки входа все те же - социальная инженерия или программные уязвимости».
CISA рекомендует срочно принять ряд профилактических мер против атак Medusa: первым пунктом идет устранение уязвимостей в любых программных компонентах, присутствующих в сетях. Кроме того, настоятельно рекомендовано произвести сегментирование сетей, чтобы минимизировать пространство для маневра злоумышленникам, если те проникают внутрь.
Необходимо также задействовать фильтрацию траффика, заблокировав удаленный доступ для неизвестных или сомнительных источников к внутренним системам.
Поделиться
Короткая ссылка
