Medusa
Medusaランサムウェアは、迅速な暗号化機能と独自の展開手法で知られる高度なサイバー脅威であり、主に身代金の支払いを強要する目的で、さまざまな分野の組織を標的としています。
Medusa ランサムウェアの起源
Medusa またはMedusaBlogは、少なくとも2023年初頭から積極的に組織を標的にしている洗練されたランサムウェアグループです。このグループは、その迅速な暗号化能力と、マルウェアを広めるためのユニークなテクニックで悪名を馳せており、MedusaLocker に関連しているようです。「Medusa」という名前は、このグループが比喩的に「ファイルを石に変え」、身代金が支払われるまで使用不能にする傾向を反映しています。
ソースユニット42およびOCD
Medusaランサムウェアの標的となった国々
Medusa の攻撃の大部分は米国に集中しているが、英国、カナダ、オーストラリ アなどの国々でも重要な事件が報告されている。この分布は、広範なデジタル・インフラを持つ先進国に焦点が当てられていることを示しています。
ソース ユニット42
Medusaランサムウェアに狙われる業界
Medusaランサムウェアは幅広い業界に影響を及ぼしている。高価値の標的には、医療、製造、教育、専門サービスなどが含まれ、重要で機密性の高い情報を扱う部門を攻撃するグループの戦略を反映している。
ソース ユニット42
Medusaランサムウェアの被害者
Medusaは2023年以降、235人以上の犠牲者を出している。
Medusaランサムウェアの攻撃方法
Medusaは通常、リモートデスクトッププロトコル (RDP) の脆弱性を悪用し、フィッシングキャンペーンを実施してアクセスを取得します。また、さまざまな手段で取得した侵害された資格情報も利用します。
ネットワーク内に侵入すると、Medusa、PsExecのようなツールを使って特権を昇格させ、システム内により強固な足場を築く。
このグループは、PowerShellスクリプトを使用してセキュリティツールを無効にし、レジストリ設定を変更して検出を回避する。また、文字列の暗号化技術を利用して悪意のあるコードを隠蔽する。
Medusaは、さまざまなコマンドラインツールやスクリプトを使ってクレデンシャルを採取し、ネットワーク上をラテラルムーブできるようにする。
彼らはNetscanのようなツールを使って大規模なネットワーク偵察を行い、貴重なターゲットを特定し、ネットワーク・トポロジーに関する情報を収集する。
Medusa は、RDP や SMB などの正規のツールやプロトコルを使用して、盗んだ認証情報を活用してネットワーク内をラテラルムーブを行います。
ランサムウェアは感染したシステムから機密データを収集し、流出の準備をする。
このランサムウェアはAES256暗号を使用してファイルを暗号化し、感染したファイルに「.medusa」拡張子を付加します。
データは攻撃者が管理する遠隔地のサーバーに流出する。このデータは、被害者に身代金の支払いを迫るために使用される。
最終段階では、通常「!read_me_medusa!.txt」という名前の身代金要求書が投下され、ファイルを復号化するための身代金の支払い方法を被害者に指示する。このグループは、身代金取引の安全性を確保するために、RSA暗号とAES暗号を組み合わせて使用している。
Medusaは通常、リモートデスクトッププロトコル (RDP) の脆弱性を悪用し、フィッシングキャンペーンを実施してアクセスを取得します。また、さまざまな手段で取得した侵害された資格情報も利用します。
ネットワーク内に侵入すると、Medusa、PsExecのようなツールを使って特権を昇格させ、システム内により強固な足場を築く。
このグループは、PowerShellスクリプトを使用してセキュリティツールを無効にし、レジストリ設定を変更して検出を回避する。また、文字列の暗号化技術を利用して悪意のあるコードを隠蔽する。
Medusaは、さまざまなコマンドラインツールやスクリプトを使ってクレデンシャルを採取し、ネットワーク上をラテラルムーブできるようにする。
彼らはNetscanのようなツールを使って大規模なネットワーク偵察を行い、貴重なターゲットを特定し、ネットワーク・トポロジーに関する情報を収集する。
Medusa は、RDP や SMB などの正規のツールやプロトコルを使用して、盗んだ認証情報を活用してネットワーク内をラテラルムーブを行います。
ランサムウェアは感染したシステムから機密データを収集し、流出の準備をする。
このランサムウェアはAES256暗号を使用してファイルを暗号化し、感染したファイルに「.medusa」拡張子を付加します。
データは攻撃者が管理する遠隔地のサーバーに流出する。このデータは、被害者に身代金の支払いを迫るために使用される。
最終段階では、通常「!read_me_medusa!.txt」という名前の身代金要求書が投下され、ファイルを復号化するための身代金の支払い方法を被害者に指示する。このグループは、身代金取引の安全性を確保するために、RSA暗号とAES暗号を組み合わせて使用している。
Medusaランサムウェアが使用する手口
Medusa ランサムウェアをVectra AIで検知する方法
よくあるご質問(FAQ)
Medusa初回アクセスの主な方法は?
Medusaは主にリモートデスクトッププロトコル(RDP)の脆弱性を悪用し、フィッシングキャンペーンを利用して初期アクセスを行います。
Medusaランサムウェアはどのようにして検知を逃れるのか?
PowerShellスクリプトを使用し、レジストリ設定を変更することで、セキュリティツールを無効にし、検知を回避する。
Medusaランサムウェアに最も狙われる業界は?
ヘルスケア、製造業、教育、専門サービス業は、最もターゲットとされている業種である。
Medusaランサムウェアはどのような暗号化方式を使っていますか?
Medusa は、RSAとAES256の暗号化を組み合わせて、ランサムウェアのトランザクションを保護し、被害者のファイルを暗号化する。
Medusa ランサムウェアはどのようにしてデータを流出させるのか?
データは攻撃者が管理するリモート・サーバーに流出するが、通常、検知を避けるために安全なチャネルを経由する。
Medusaが悪用する典型的な身代金要求書の名前は何ですか?
身代金要求書は通常、「!read_me_medusa!.txt」という名前になっている。
Medusa、ランサムウェアはネットワークの検知にどのようなツールを使用するのか?
Medusaは、ネットワーク偵察のためにネットスキャンのようなツールを使用し、貴重なターゲットを特定する。
Medusa、ランサムウェアはどのようにしてラテラルムーブするのか?
彼らはRDPやSMBのような正規のツールやプロトコルを利用し、盗んだ認証情報を活用して横方向に移動する。
Medusa ランサムウェアから組織を守るには?
定期的なパッチ適用、多要素認証の使用、異常なアクティビティがないかネットワークトラフィックを監視するなど、強力なセキュリティ対策を導入することで、Medusa から保護することができます。
Medusa ランサムウェアに対する防御において、XDR ソリューションはどのような役割を果たすことができるのか?
XDRソリューションは、包括的な可視性と自動化されたレスポンス 機能を提供し、エンドポイント、ネットワーク、クラウド環境全体で不審な活動を検出および軽減します。