Medusaランサムウェアは、迅速な暗号化機能と独自の展開手法で知られる高度なサイバー脅威であり、主に身代金の支払いを強要する目的で、さまざまな分野の組織を標的としています。
Medusa またはMedusaBlogは、少なくとも2023年初頭から積極的に組織を標的にしている洗練されたランサムウェアグループです。このグループは、その迅速な暗号化能力と、マルウェアを広めるためのユニークなテクニックで悪名を馳せており、MedusaLocker に関連しているようです。「Medusa」という名前は、このグループが比喩的に「ファイルを石に変え」、身代金が支払われるまで使用不能にする傾向を反映しています。
ソースユニット42およびOCD
Medusa の攻撃の大部分は米国に集中しているが、英国、カナダ、オーストラリ アなどの国々でも重要な事件が報告されている。この分布は、広範なデジタル・インフラを持つ先進国に焦点が当てられていることを示しています。
ソース ユニット42
Medusaは2023年以降、235人以上の犠牲者を出している。
Medusaは通常、リモートデスクトッププロトコル (RDP) の脆弱性を悪用し、フィッシングキャンペーンを実施してアクセスを取得します。また、さまざまな手段で取得した侵害された資格情報も利用します。
ネットワーク内に侵入すると、Medusa、PsExecのようなツールを使って特権を昇格させ、システム内により強固な足場を築く。
このグループは、PowerShellスクリプトを使用してセキュリティツールを無効にし、レジストリ設定を変更して検出を回避する。また、文字列の暗号化技術を利用して悪意のあるコードを隠蔽する。
Medusaは、さまざまなコマンドラインツールやスクリプトを使ってクレデンシャルを採取し、ネットワーク上をラテラルムーブできるようにする。
彼らはNetscanのようなツールを使って大規模なネットワーク偵察を行い、貴重なターゲットを特定し、ネットワーク・トポロジーに関する情報を収集する。
Medusa は、RDP や SMB などの正規のツールやプロトコルを使用して、盗んだ認証情報を活用してネットワーク内をラテラルムーブを行います。
ランサムウェアは感染したシステムから機密データを収集し、流出の準備をする。
このランサムウェアはAES256暗号を使用してファイルを暗号化し、感染したファイルに「.medusa」拡張子を付加します。
データは攻撃者が管理する遠隔地のサーバーに流出する。このデータは、被害者に身代金の支払いを迫るために使用される。
最終段階では、通常「!read_me_medusa!.txt」という名前の身代金要求書が投下され、ファイルを復号化するための身代金の支払い方法を被害者に指示する。このグループは、身代金取引の安全性を確保するために、RSA暗号とAES暗号を組み合わせて使用している。
Medusaは通常、リモートデスクトッププロトコル (RDP) の脆弱性を悪用し、フィッシングキャンペーンを実施してアクセスを取得します。また、さまざまな手段で取得した侵害された資格情報も利用します。
ネットワーク内に侵入すると、Medusa、PsExecのようなツールを使って特権を昇格させ、システム内により強固な足場を築く。
このグループは、PowerShellスクリプトを使用してセキュリティツールを無効にし、レジストリ設定を変更して検出を回避する。また、文字列の暗号化技術を利用して悪意のあるコードを隠蔽する。
Medusaは、さまざまなコマンドラインツールやスクリプトを使ってクレデンシャルを採取し、ネットワーク上をラテラルムーブできるようにする。
彼らはNetscanのようなツールを使って大規模なネットワーク偵察を行い、貴重なターゲットを特定し、ネットワーク・トポロジーに関する情報を収集する。
Medusa は、RDP や SMB などの正規のツールやプロトコルを使用して、盗んだ認証情報を活用してネットワーク内をラテラルムーブを行います。
ランサムウェアは感染したシステムから機密データを収集し、流出の準備をする。
このランサムウェアはAES256暗号を使用してファイルを暗号化し、感染したファイルに「.medusa」拡張子を付加します。
データは攻撃者が管理する遠隔地のサーバーに流出する。このデータは、被害者に身代金の支払いを迫るために使用される。
最終段階では、通常「!read_me_medusa!.txt」という名前の身代金要求書が投下され、ファイルを復号化するための身代金の支払い方法を被害者に指示する。このグループは、身代金取引の安全性を確保するために、RSA暗号とAES暗号を組み合わせて使用している。
Medusaランサムウェアは、MITRE ATT&CK のフレームワークに沿った様々な TTP を採用している。主なTTPには次のようなものがあります。
Medusaは主にリモートデスクトッププロトコル(RDP)の脆弱性を悪用し、フィッシングキャンペーンを利用して初期アクセスを行います。
PowerShellスクリプトを使用し、レジストリ設定を変更することで、セキュリティツールを無効にし、検知を回避する。
ヘルスケア、製造業、教育、専門サービス業は、最もターゲットとされている業種である。
Medusa は、RSAとAES256の暗号化を組み合わせて、ランサムウェアのトランザクションを保護し、被害者のファイルを暗号化する。
データは攻撃者が管理するリモート・サーバーに流出するが、通常、検知を避けるために安全なチャネルを経由する。
身代金要求書は通常、「!read_me_medusa!.txt」という名前になっている。
Medusaは、ネットワーク偵察のためにネットスキャンのようなツールを使用し、貴重なターゲットを特定する。
彼らはRDPやSMBのような正規のツールやプロトコルを利用し、盗んだ認証情報を活用して横方向に移動する。
定期的なパッチ適用、多要素認証の使用、異常なアクティビティがないかネットワークトラフィックを監視するなど、強力なセキュリティ対策を導入することで、Medusa から保護することができます。
XDRソリューションは、包括的な可視性と自動化されたレスポンス 機能を提供し、エンドポイント、ネットワーク、クラウド環境全体で不審な活動を検出および軽減します。