Medusa
Medusa Le ransomware est une cybermenace sophistiquée connue pour ses capacités de chiffrement rapide et ses techniques de déploiement uniques, qui cible principalement les organisations de divers secteurs dans le but d'extorquer le paiement d'une rançon.
L'origine du ransomware Medusa
Medusa ou MedusaBlog est un groupe de ransomware sophistiqué qui cible activement les organisations depuis au moins le début de l'année 2023. Le groupe s'est fait connaître pour ses capacités de chiffrement rapide et ses techniques uniques de diffusion de son site malware . Il semble être lié à MedusaLocker. Le nom "Medusa" reflète la tendance du groupe à métaphoriquement " transformer les fichiers en pierre ", les rendant inutilisables jusqu'à ce qu'une rançon soit payée.
Pays ciblés par le ransomware Medusa
La majorité des attaques de Medusa ont été concentrées aux États-Unis, mais des incidents importants ont également été signalés dans des pays comme le Royaume-Uni, le Canada et l'Australie. Cette répartition indique que l'accent est mis sur les pays développés dotés d'infrastructures numériques étendues.
Source : Unité 42
Industries ciblées par le ransomware Medusa
Medusa Le ransomware a touché un large éventail d'industries. Parmi les cibles de grande valeur figurent les soins de santé, l'industrie manufacturière, l'éducation et les services professionnels, ce qui reflète la stratégie du groupe consistant à attaquer les secteurs qui traitent des informations critiques et sensibles.
Source : Unité 42
Les victimes du ransomware Medusa
Medusa a fait plus de 235 victimes depuis 2023.
Source : ransomware.live
Medusa méthode d'attaque du ransomware
Medusa obtient généralement un accès en exploitant les vulnérabilités des protocoles de bureau à distance (RDP) et en recourant aux campagnes phishing . Ils utilisent également des informations d'identification compromises acquises par divers moyens.
Une fois dans un réseau, Medusa utilise des outils tels que PsExec pour élever les privilèges et s'implanter plus solidement dans le système.
Le groupe désactive les outils de sécurité à l'aide de scripts PowerShell et modifie les paramètres du registre pour éviter la détection. Il utilise également des techniques de cryptage des chaînes de caractères pour dissimuler les codes malveillants.
Medusa recueille les informations d'identification à l'aide de divers outils et scripts en ligne de commande, ce qui leur permet de se déplacer latéralement sur le réseau.
Ils effectuent une reconnaissance approfondie du réseau à l'aide d'outils tels que Netscan afin d'identifier les cibles intéressantes et de recueillir des informations sur la topologie du réseau.
Medusa utilise des outils et des protocoles légitimes, tels que RDP et SMB, pour se déplacer latéralement au sein du réseau, en s'appuyant sur des informations d'identification volées.
Le ransomware collecte les données sensibles des systèmes infectés et les prépare à l'exfiltration.
Le ransomware chiffre les fichiers à l'aide du cryptage AES256 et ajoute l'extension ".medusa" aux fichiers concernés.
Les données sont exfiltrées vers des serveurs distants contrôlés par les attaquants. Ces données sont ensuite utilisées pour faire pression sur les victimes afin qu'elles paient la rançon.
La dernière étape consiste à envoyer une note de rançon, généralement nommée "!!read_me_medusa !!.txt", indiquant aux victimes comment payer la rançon pour décrypter leurs fichiers. Le groupe utilise un mélange de cryptage RSA et AES pour sécuriser les transactions de rançon.
Medusa obtient généralement un accès en exploitant les vulnérabilités des protocoles de bureau à distance (RDP) et en recourant aux campagnes phishing . Ils utilisent également des informations d'identification compromises acquises par divers moyens.
Une fois dans un réseau, Medusa utilise des outils tels que PsExec pour élever les privilèges et s'implanter plus solidement dans le système.
Le groupe désactive les outils de sécurité à l'aide de scripts PowerShell et modifie les paramètres du registre pour éviter la détection. Il utilise également des techniques de cryptage des chaînes de caractères pour dissimuler les codes malveillants.
Medusa recueille les informations d'identification à l'aide de divers outils et scripts en ligne de commande, ce qui leur permet de se déplacer latéralement sur le réseau.
Ils effectuent une reconnaissance approfondie du réseau à l'aide d'outils tels que Netscan afin d'identifier les cibles intéressantes et de recueillir des informations sur la topologie du réseau.
Medusa utilise des outils et des protocoles légitimes, tels que RDP et SMB, pour se déplacer latéralement au sein du réseau, en s'appuyant sur des informations d'identification volées.
Le ransomware collecte les données sensibles des systèmes infectés et les prépare à l'exfiltration.
Le ransomware chiffre les fichiers à l'aide du cryptage AES256 et ajoute l'extension ".medusa" aux fichiers concernés.
Les données sont exfiltrées vers des serveurs distants contrôlés par les attaquants. Ces données sont ensuite utilisées pour faire pression sur les victimes afin qu'elles paient la rançon.
La dernière étape consiste à envoyer une note de rançon, généralement nommée "!!read_me_medusa !!.txt", indiquant aux victimes comment payer la rançon pour décrypter leurs fichiers. Le groupe utilise un mélange de cryptage RSA et AES pour sécuriser les transactions de rançon.
TTP utilisées par le ransomware Medusa
Comment détecter le ransomware Medusa avec Vectra AI
Foire aux questions
Quelle est la principale méthode d'accès initial de Medusa?
Medusa exploite principalement des vulnérabilités dans les protocoles de bureau à distance (RDP) et utilise des campagnes phishing pour obtenir un accès initial.
Comment le ransomware Medusa échappe-t-il à la détection ?
Ils utilisent des scripts PowerShell et modifient les paramètres du registre pour désactiver les outils de sécurité et éviter d'être détectés.
Quelles sont les industries les plus ciblées par le ransomware Medusa ?
Les soins de santé, l'industrie manufacturière, l'éducation et les services professionnels figurent parmi les secteurs les plus ciblés.
Quelles sont les méthodes de cryptage utilisées par le ransomware Medusa ?
Medusa utilise une combinaison de cryptage RSA et AES256 pour sécuriser ses transactions de ransomware et crypter les fichiers des victimes.
Comment le ransomware Medusa exfiltre-t-il les données ?
Les données sont exfiltrées vers des serveurs distants contrôlés par les attaquants, généralement via des canaux sécurisés afin d'éviter toute détection.
Quel est le nom typique de la note de rançon utilisée par Medusa?
La note de rançon est généralement nommée "!!read_me_medusa !!.txt".
Quels outils le ransomware Medusa utilise-t-il pour découvrir le réseau ?
Medusa utilise des outils tels que Netscan pour la reconnaissance des réseaux et l'identification de cibles intéressantes.
Comment le ransomware Medusa parvient-il à se déplacer latéralement ?
Ils utilisent des outils et des protocoles légitimes tels que RDP et SMB, en s'appuyant sur des informations d'identification volées pour se déplacer latéralement.
Comment les organisations peuvent-elles se protéger contre le ransomware Medusa ?
La mise en œuvre de mesures de sécurité strictes, telles que l'application régulière de correctifs, l'utilisation d'une authentification à plusieurs facteurs et la surveillance du trafic réseau à la recherche d'activités inhabituelles, peut contribuer à la protection contre Medusa.
Quel rôle les solutions XDR peuvent-elles jouer dans la défense contre les ransomwares Medusa ?
Les solutions XDR offrent une visibilité complète et des capacités de réponse automatisées, détectant et atténuant les activités suspectes sur les terminaux, les réseaux et les environnements cloud .