Votre organisation est-elle à l'abri des attaques du ransomware Medusa ?

L'origine du ransomware Medusa

Medusa ou MedusaBlog est un groupe de ransomware sophistiqué qui cible activement les organisations depuis au moins le début de l'année 2023. Le groupe s'est fait connaître pour ses capacités de chiffrement rapide et ses techniques uniques de diffusion de son site malware . Il semble être lié à MedusaLocker. Le nom "Medusa" reflète la tendance du groupe à métaphoriquement "transformer les fichiers en pierre", les rendant inutilisables jusqu'à ce qu'une rançon soit payée.

Source : Unité 42 et OCD

Cibles

Les cibles de Medusa

Pays ciblés par le ransomware Medusa

La majorité des attaques de Medusa se sont concentrées aux États-Unis, mais des incidents importants ont également été signalés dans des pays comme le Royaume-Uni, le Canada et l'Australie. Cette répartition indique que l'accent est mis sur les pays développés dotés d'infrastructures numériques étendues.

^{Source :}^{Unité 42}

Industries ciblées par le ransomware Medusa

Le ransomware Medusa a touché un large éventail d'industries. Parmi les cibles de grande valeur figurent les soins de santé, l'industrie manufacturière, l'éducation et les services professionnels, ce qui reflète la stratégie du groupe consistant à attaquer les secteurs qui traitent des informations critiques et sensibles.

^{Source :}^{Unité 42}

Industries ciblées par le ransomware Medusa

Le ransomware Medusa a touché un large éventail d'industries. Parmi les cibles de grande valeur figurent les soins de santé, l'industrie manufacturière, l'éducation et les services professionnels, ce qui reflète la stratégie du groupe consistant à attaquer les secteurs qui traitent des informations critiques et sensibles.

^{Source :}^{Unité 42}

Les victimes du ransomware Medusa

Medusa a fait plus de 235 victimes depuis 2023.

Source : ransomware.live

Méthode d'attaque

Méthode d'attaque du ransomware Medusa

Une figure ombrageuse jetant un large filet sur un paysage numérique rempli de divers appareils tels que des ordinateurs, des smartphones et des tablettes. Le filet symbolise les tentatives de l'attaquant de trouver des vulnérabilités ou d'utiliser des techniques phishing pour obtenir un accès non autorisé.

Medusa obtient généralement un accès en exploitant les vulnérabilités des protocoles de bureau à distance (RDP) et en employant des campagnes phishing . Il utilise également des informations d'identification compromises acquises par divers moyens.

Une échelle numérique s'étendant vers le haut à partir d'une icône d'utilisateur de base vers une couronne symbolisant les privilèges administratifs. Cela représente les efforts de l'attaquant pour obtenir un accès de plus haut niveau au système.

Une fois dans un réseau, Medusa utilise des outils tels que PsExec pour élever les privilèges et s'implanter plus solidement dans le système.

Un caméléon qui se fond dans un arrière-plan numérique, avec des zéros et des uns qui circulent autour de lui. Cela représente la capacité de l'attaquant à éviter d'être détecté par les mesures de sécurité, en changeant de tactique pour se fondre dans le trafic normal du réseau.

Le groupe désactive les outils de sécurité à l'aide de scripts PowerShell et modifie les paramètres du registre pour éviter la détection. Il utilise également des techniques de cryptage des chaînes de caractères pour dissimuler les codes malveillants.

Un voleur muni d'une trousse de crochetage travaille sur un trou de serrure géant en forme de formulaire de connexion, représentant les efforts de l'attaquant pour voler les informations d'identification de l'utilisateur afin d'obtenir un accès non autorisé.

Medusa recueille les informations d'identification à l'aide de divers outils et scripts de ligne de commande, ce qui leur permet de se déplacer latéralement sur le réseau.

Une loupe se déplaçant sur une carte numérique d'un réseau, mettant en évidence les fichiers, les dossiers et les connexions réseau. Cette image représente la phase où les attaquants explorent l'environnement pour en comprendre la structure et savoir où se trouvent les données importantes.

Ils effectuent une reconnaissance approfondie du réseau à l'aide d'outils tels que Netscan afin d'identifier les cibles intéressantes et de recueillir des informations sur la topologie du réseau.

Une série de nœuds interconnectés avec une silhouette se déplaçant furtivement entre eux. Cela illustre les mouvements de l'attaquant au sein du réseau, cherchant à prendre le contrôle d'autres systèmes ou à propager malware.

Medusa utilise des outils et des protocoles légitimes, tels que RDP et SMB, pour se déplacer latéralement au sein du réseau, en s'appuyant sur des informations d'identification volées.

Un grand aspirateur qui aspire des fichiers, des icônes de données et des dossiers dans un sac tenu par une personne de l'ombre. Cette image symbolise le processus de collecte de données précieuses sur le réseau cible.

Le ransomware collecte les données sensibles des systèmes infectés et les prépare à l'exfiltration.

Une fenêtre d'invite de commande ouverte devant un arrière-plan numérique, avec un code malveillant en cours de saisie. Il s'agit de la phase au cours de laquelle les attaquants exécutent leur charge utile malveillante dans le système compromis.

Le ransomware chiffre les fichiers à l'aide du cryptage AES256 et ajoute l'extension ".medusa" aux fichiers concernés.

Série de fichiers acheminés par un canal secret depuis un ordinateur vers un site cloud marqué d'une tête de mort, symbolisant le transfert non autorisé de données vers un lieu contrôlé par l'attaquant.

Les données sont exfiltrées vers des serveurs distants contrôlés par les attaquants. Ces données sont ensuite utilisées pour faire pression sur les victimes afin qu'elles paient la rançon.

Un écran fissuré avec derrière lui un paysage urbain numérique en plein chaos, symbolisant l'impact destructeur de la cyberattaque, tel que l'interruption de service, la destruction de données ou la perte financière.

La dernière étape consiste à envoyer une note de rançon, généralement nommée "!!read_me_medusa !!.txt", indiquant aux victimes comment payer la rançon pour décrypter leurs fichiers. Le groupe utilise un mélange de cryptage RSA et AES pour sécuriser les transactions de rançon.

Accès Initial

Medusa obtient généralement un accès en exploitant les vulnérabilités des protocoles de bureau à distance (RDP) et en employant des campagnes phishing . Il utilise également des informations d'identification compromises acquises par divers moyens.

Élévation de privilèges

Une fois dans un réseau, Medusa utilise des outils tels que PsExec pour élever les privilèges et s'implanter plus solidement dans le système.

Défense Evasion

Le groupe désactive les outils de sécurité à l'aide de scripts PowerShell et modifie les paramètres du registre pour éviter la détection. Il utilise également des techniques de cryptage des chaînes de caractères pour dissimuler les codes malveillants.

Accès aux identifiants

Medusa recueille les informations d'identification à l'aide de divers outils et scripts de ligne de commande, ce qui leur permet de se déplacer latéralement sur le réseau.

Découverte

Ils effectuent une reconnaissance approfondie du réseau à l'aide d'outils tels que Netscan afin d'identifier les cibles intéressantes et de recueillir des informations sur la topologie du réseau.

Mouvement latéral

Medusa utilise des outils et des protocoles légitimes, tels que RDP et SMB, pour se déplacer latéralement au sein du réseau, en s'appuyant sur des informations d'identification volées.

Collection

Le ransomware collecte les données sensibles des systèmes infectés et les prépare à l'exfiltration.

Exécution

Le ransomware chiffre les fichiers à l'aide du cryptage AES256 et ajoute l'extension ".medusa" aux fichiers concernés.

Exfiltration

Les données sont exfiltrées vers des serveurs distants contrôlés par les attaquants. Ces données sont ensuite utilisées pour faire pression sur les victimes afin qu'elles paient la rançon.

Impact

La dernière étape consiste à envoyer une note de rançon, généralement nommée "!!read_me_medusa !!.txt", indiquant aux victimes comment payer la rançon pour décrypter leurs fichiers. Le groupe utilise un mélange de cryptage RSA et AES pour sécuriser les transactions de rançon.

MITRE ATT&CK Mapping

TTP utilisées par le ransomware Medusa

Le ransomware Medusa utilise plusieurs TTP alignés sur le cadre MITRE ATT&CK . Parmi les principaux TTP, on peut citer

TA0001: Initial Access

T1566

Phishing

T1133

External Remote Services

T1078

Valid Accounts

TA0002: Execution

T1059

Command and Scripting Interpreter

TA0003: Persistence

T1098

Account Manipulation

T1078

Valid Accounts

TA0004: Privilege Escalation

T1078

Valid Accounts

TA0005: Defense Evasion

T1112

Modify Registry

T1027

Obfuscated Files or Information

T1070

Indicator Removal

T1562

Impair Defenses

T1078

Valid Accounts

TA0006: Credential Access

T1003

OS Credential Dumping

TA0007: Discovery

T1046

Network Service Discovery

T1018

Remote System Discovery

TA0008: Lateral Movement

T1021

Remote Services

TA0009: Collection

T1115

Clipboard Data

TA0011: Command and Control

T1105

Ingress Tool Transfer

TA0010: Exfiltration

T1041

Exfiltration Over C2 Channel

TA0040: Impact

T1486

Data Encrypted for Impact

Détections de la plate-forme

Comment détecter le ransomware Medusa avec Vectra AI

AWS Ransomware S3 Activity

M365 Internal Spearphishing

M365 Ransomware

RDP Recon

Ransomware File Activity

Suspicious Port Scan

Voir plus de détections

Évaluez votre exposition aux attaques

Foire aux questions

Quelle est la principale méthode d'accès initial de Medusa ?

Medusa exploite principalement les vulnérabilités des protocoles de bureau à distance (RDP) et utilise les campagnes phishing pour obtenir un accès initial.

Comment le ransomware Medusa échappe-t-il à la détection ?

Ils utilisent des scripts PowerShell et modifient les paramètres du registre pour désactiver les outils de sécurité et éviter d'être détectés.

Quels sont les secteurs les plus ciblés par le ransomware Medusa ?

Les soins de santé, l'industrie manufacturière, l'éducation et les services professionnels figurent parmi les secteurs les plus ciblés.

Quelles sont les méthodes de chiffrement utilisées par le ransomware Medusa ?

Medusa utilise une combinaison de cryptage RSA et AES256 pour sécuriser ses transactions de ransomware et crypter les fichiers des victimes.

Comment le ransomware Medusa exfiltre-t-il les données ?

Les données sont exfiltrées vers des serveurs distants contrôlés par les attaquants, généralement via des canaux sécurisés afin d'éviter toute détection.

Quel est le nom typique d'une demande de rançon utilisée par Medusa ?

La note de rançon est généralement nommée "!!read_me_medusa !!.txt".

Quels outils le ransomware Medusa utilise-t-il pour découvrir le réseau ?

Medusa utilise des outils tels que Netscan pour la reconnaissance des réseaux et l'identification des cibles intéressantes.

Comment le ransomware Medusa parvient-il à se déplacer latéralement ?

Ils utilisent des outils et des protocoles légitimes tels que RDP et SMB, en s'appuyant sur des informations d'identification volées pour se déplacer latéralement.

Comment les entreprises peuvent-elles se protéger contre le ransomware Medusa ?

La mise en œuvre de mesures de sécurité strictes, telles que l'application régulière de correctifs, l'utilisation d'une authentification à plusieurs facteurs et la surveillance du trafic réseau à la recherche d'activités inhabituelles, peut contribuer à la protection contre Medusa.

Quel rôle les solutions XDR peuvent-elles jouer dans la défense contre le ransomware Medusa ?

Les solutions XDR offrent une visibilité complète et des capacités de réponse automatisées, détectant et atténuant les activités suspectes sur les terminaux, les réseaux et les environnements cloud .