Medusa
Medusaランサムウェアは、迅速な暗号化機能とユニークな展開手法で知られる高度なサイバー脅威で、主に身代金の支払いを強要する目的で、さまざまな分野の組織を標的としています。
Medusaランサムウェアの起源
MedusaまたはMedusaBlogは洗練されたランサムウェアグループで、少なくとも2023年初頭から積極的に組織を標的にしている。このグループは、その迅速な暗号化能力と、malware を広めるためのユニークなテクニックで悪名を馳せており、MedusaLocker に関連しているようです。Medusa」という名前は、比喩的に「ファイルを石に変え」、身代金が支払われるまで使用不能にするというグループの傾向を反映しています。
ソースユニット42およびOCD
ターゲット
メドゥーサのターゲット
Medusaランサムウェアの標的国
Medusaの攻撃の大半は米国に集中しているが、英国、カナダ、オーストラリアなどでも重大なインシデントが報告されている。この分布は、大規模なデジタルインフラを持つ先進国に焦点を当てていることを示している。
ソース ユニット42
メデューサ・ランサムウェアの被害者
メドゥーサは2023年以来、235人以上の犠牲者を狙っている。
攻撃方法
Medusaランサムウェアの攻撃方法
Medusaは通常、リモートデスクトッププロトコル (RDP) の脆弱性を悪用し、フィッシングキャンペーンを実施してアクセスを取得します。また、さまざまな手段で取得した侵害された資格情報も利用します。
ネットワーク内に侵入すると、MedusaはPsExecのようなツールを使って特権を昇格させ、システム内でより強力な足場を築く。
このグループは、PowerShellスクリプトを使用してセキュリティツールを無効にし、レジストリ設定を変更して検出を回避する。また、文字列の暗号化技術を利用して悪意のあるコードを隠蔽する。
Medusaは、様々なコマンドラインツールやスクリプトを使って認証情報を採取し、ネットワーク上を横方向に移動できるようにする。
彼らはNetscanのようなツールを使って大規模なネットワーク偵察を行い、貴重なターゲットを特定し、ネットワーク・トポロジーに関する情報を収集する。
Medusaは、RDPやSMBといった正規のツールやプロトコルを使用し、盗んだ認証情報を活用してネットワーク内を横移動する。
ランサムウェアは感染したシステムから機密データを収集し、流出の準備をする。
このランサムウェアはAES256暗号を使用してファイルを暗号化し、感染したファイルに「.medusa」拡張子を付加します。
データは攻撃者が管理する遠隔地のサーバーに流出する。このデータは、被害者に身代金の支払いを迫るために使用される。
最終段階では、通常「!read_me_medusa!.txt」という名前の身代金要求書が投下され、ファイルを復号化するための身代金の支払い方法を被害者に指示する。このグループは、身代金取引の安全性を確保するために、RSA暗号とAES暗号を組み合わせて使用している。
初期アクセス
Medusaは通常、リモートデスクトッププロトコル (RDP) の脆弱性を悪用し、フィッシングキャンペーンを実施してアクセスを取得します。また、さまざまな手段で取得した侵害された資格情報も利用します。
特権エスカレーション
ネットワーク内に侵入すると、MedusaはPsExecのようなツールを使って特権を昇格させ、システム内でより強力な足場を築く。
防御回避
このグループは、PowerShellスクリプトを使用してセキュリティツールを無効にし、レジストリ設定を変更して検出を回避する。また、文字列の暗号化技術を利用して悪意のあるコードを隠蔽する。
クレデンシャル・アクセス
Medusaは、様々なコマンドラインツールやスクリプトを使って認証情報を採取し、ネットワーク上を横方向に移動できるようにする。
ディスカバリー
彼らはNetscanのようなツールを使って大規模なネットワーク偵察を行い、貴重なターゲットを特定し、ネットワーク・トポロジーに関する情報を収集する。
横の動き
Medusaは、RDPやSMBといった正規のツールやプロトコルを使用し、盗んだ認証情報を活用してネットワーク内を横移動する。
コレクション
ランサムウェアは感染したシステムから機密データを収集し、流出の準備をする。
実行
このランサムウェアはAES256暗号を使用してファイルを暗号化し、感染したファイルに「.medusa」拡張子を付加します。
データ流出
データは攻撃者が管理する遠隔地のサーバーに流出する。このデータは、被害者に身代金の支払いを迫るために使用される。
インパクト
最終段階では、通常「!read_me_medusa!.txt」という名前の身代金要求書が投下され、ファイルを復号化するための身代金の支払い方法を被害者に指示する。このグループは、身代金取引の安全性を確保するために、RSA暗号とAES暗号を組み合わせて使用している。
MITRE ATT&CK マッピング
Medusaランサムウェアが使用するTTP
Medusaランサムウェアは、MITRE ATT&CK のフレームワークに沿った様々なTTPを採用している。主なTTPには次のようなものがあります:
TA0001: Initial Access
T1566
Phishing
T1133
External Remote Services
T1078
Valid Accounts
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
T1098
Account Manipulation
T1078
Valid Accounts
TA0004: Privilege Escalation
T1078
Valid Accounts
TA0005: Defense Evasion
T1112
Modify Registry
T1027
Obfuscated Files or Information
T1070
Indicator Removal
T1562
Impair Defenses
T1078
Valid Accounts
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
T1046
Network Service Discovery
T1018
Remote System Discovery
TA0008: Lateral Movement
T1021
Remote Services
TA0009: Collection
T1115
Clipboard Data
TA0011: Command and Control
T1105
Ingress Tool Transfer
TA0010: Exfiltration
T1041
Exfiltration Over C2 Channel
TA0040: Impact
T1486
Data Encrypted for Impact
プラットフォーム検出
Vectra AIを使ったMedusaランサムウェアの検知 方法
よくあるご質問(FAQ)
メドゥーサの最初のアクセス方法は?
Medusaは主にリモートデスクトッププロトコル(RDP)の脆弱性を悪用し、フィッシングキャンペーンを利用して初期アクセスを行います。
Medusaランサムウェアはどのようにして検知を逃れるのか?
PowerShellスクリプトを使用し、レジストリ設定を変更することで、セキュリティツールを無効にし、検知を回避する。
Medusaランサムウェアに最も狙われている業界は?
ヘルスケア、製造業、教育、専門サービス業は、最もターゲットとされている業種である。
Medusaランサムウェアはどのような暗号化方法を使うのか?
Medusaは、RSAとAES256の暗号化を組み合わせて、ランサムウェアのトランザクションを保護し、被害者のファイルを暗号化する。
Medusaランサムウェアはどのようにデータを流出させるのか?
データは攻撃者が管理するリモート・サーバーに流出するが、通常、検知を避けるために安全なチャネルを経由する。
メドゥーサが使う典型的な身代金要求の手紙の名前は?
身代金要求書は通常、「!read_me_medusa!.txt」という名前になっている。
Medusaランサムウェアはネットワーク・ディスカバリーにどのようなツールを使うのか?
Medusaはネットワーク偵察のためにNetscanのようなツールを使い、貴重なターゲットを特定する。
Medusaランサムウェアはどのようにして横の動きを実現するのか?
彼らはRDPやSMBのような正規のツールやプロトコルを利用し、盗んだ認証情報を活用して横方向に移動する。
Medusaランサムウェアから組織を守るには?
定期的なパッチ適用、多要素認証の使用、ネットワークトラフィックに異常がないかの監視など、強力なセキュリティ対策を実施することで、Medusaから身を守ることができる。
Medusaランサムウェアに対する防御において、XDRソリューションはどのような役割を果たせるのか?
XDRソリューションは、包括的な可視性と自動化されたレスポンス 機能を提供し、エンドポイント、ネットワーク、クラウド環境全体で不審な活動を検出および軽減します。