Medusa Ransomware поражает 300+ целей: ФБР и CISA побудить немедленное действие #stopransomware

Федеральные чиновники кибербезопасности поднимают красные флаги из -за всплеска атаки группировки Medusa Ransomware. Впервые обнаруженная в июне 2021 года, группа в последнее время получила тягу, используя основные, но эффективные методы, такие как фишинговые электронные письма и эксплуатацию устаревшего программного обеспечения, для разрыва систем и хранения заложников данных.

В совместном консультации, опубликованном на прошлой неделе, ФБР, агентство по безопасности кибербезопасности и инфраструктуры (CISA), а также Центр обмена информацией и анализом много государств (MS-ISAC) призывали предприятия и учреждения предпринять немедленные шаги для защиты своих систем. Предупреждение является частью продолжающейся правительственной инициативы #stopransomware.

Растущий бизнес на вымогателях как услуга

Первоначально закрытая операция, Medusa в настоящее время приняла модель вымогателей как услуга (RAAS). Это означает, что разработчики предоставляют программное обеспечение для вымогателей партнерам, известным как «актеры Medusa», которые выполняют атаки. Эти филиалы часто набираются с онлайн -преступных форумов и иногда получают оплату бонусов для работы исключительно для Medusa.

«Потенциальные платежи от 100 долларов США до 1 миллиона долларов США предлагаются этим филиалам с возможностью работать исключительно для Medusa», - говорится в консультации.

Актеры Medusa часто получают доступ к системам с помощью фишинговых электронных писем или используя известные уязвимости, такие как CVE-2014-1709, который влияет на инструмент дистанционного доступа ScreenConct, и CVE-2023-48788, недостаток в продуктах Fortinet. Оказавшись внутри, они шифровали файлы и требуют выкупа. Записки на выкуп группы дают жертвам 48 часов для реагирования через живой чат или зашифрованную платформу обмена сообщениями.

Если жертва не реагирует, актеры Medusa могут обострить свои усилия по вымогательству, тактика, наблюдаемая в других группах вымогателей.

Что делает Medusa особенно угрожающим, так это его публичный сайт промывки данных, который отображает жертв наряду с таймерами обратного отсчета. Как только таймер заканчивается, украденные данные либо выпускаются, либо продаются самой высокой цене. В некоторых случаях жертвам предоставляется возможность купить дополнительное время - задержка в один день может стоить до 10 000 долларов в криптовалюте.

«По состоянию на февраль 2025 года разработчики и аффилированные лица Medusa повлияли на более 300 жертв из различных критически важных инфраструктурных секторов с затронутыми отраслями, включая медицинские, образовательные, юридические, страховые, технологии и производство», - отмечает консультативные консультации.

Охват Медузы является глобальным; Среди прошлых жертв входят государственные школы Миннеаполиса, где атака в 2023 году открыла конфиденциальную информацию от более чем 100 000 учеников.

Как защитить вашу организацию от Medusa Ransomware

Консультативный призывает организации предпринять несколько ключевых шагов, чтобы защитить себя от Медузы. К ним относятся:

Обеспечение того, чтобы все операционные системы, программное обеспечение и прошивка регулярно обновлялись и исправляются. Реализация многофакторной аутентификации во всех услугах. Использование сильных, уникальных паролей.

Кроме того, CISA советует предприятиям сегментировать свои сети для ограничения распространения инфекций и фильтрации сетевого трафика для блокирования несанкционированных попыток доступа.

CISA призывает ИТ -команды просмотреть свои #StoPransomware: Medusa Ransomware Advisory для подробных методов обнаружения и индикаторов угроз.