Palo Alto: Ransomware-Eskalation
Medusa schlägt professioneller zu
Das „Unit 42“-Team von Palo Alto Networks hat einen neuen Forschungsbericht über die Ransomware-Bande Medusa veröffentlicht. Dort sind Taktiken, Tools und Verfahren der Bedrohungsakteure beschrieben.
Unit 42 meldet eine Eskalation der Medusa-Ransomware-Operationen und eine Verlagerung der Taktik in Richtung Erpressung, die durch die Einführung einer eigenen Leak-Site (DLS) namens Medusa Blog Anfang 2023 gekennzeichnet ist.
Die Medusa-Bedrohungsakteure nutzen diese Website, um sensible Daten von Opfern zu veröffentlichen, die nicht bereit sind, ihre Lösegeldforderungen zu erfüllen. Als Teil ihrer Multi-Extortion-Strategie bietet die Gruppe den Opfern mehrere Optionen an, wenn ihre Daten auf der Leak-Site veröffentlicht werden, wie etwa Zeitverlängerung, Löschung der Daten oder Download aller Daten. Alle diese Optionen haben ihren Preis, je nachdem, welche Organisation von dieser Gruppe betroffen ist.
Neben ihrer Strategie, eine Onion-Site für Erpressungen zu nutzen, setzen Medusa-Bedrohungsakteure auch einen öffentlichen Telegram-Kanal namens „Information Support“ ein, auf dem Dateien kompromittierter Organisationen öffentlich geteilt werden und leichter zugänglich sind als auf herkömmlichen Onion-Sites.
Weitere Erkenntnisse von Unit 42 über Medusa-Ransomware:
- Es gibt einen neuen Medusa-Blog, der über TOR zugänglich ist und Anfang 2023 veröffentlicht wurde, um sensible Daten von Opfern offenzulegen, die nicht bereit sind, auf ihre Lösegeldforderungen einzugehen,
- die Betreiber bieten den Opfern mehrere Optionen für die Zahlung des Lösegelds an, wenn ihre Daten in ihrem DLS veröffentlicht werden. Eine Standardgebühr für eine Zeitverlängerung, um die Veröffentlichung von Daten in ihrem Blog zu verhindern, beträgt beispielsweise 10.000 Dollar,
- Medusa ist opportunistisch und zielt auf eine breite Palette von Branchen ab, darunter Technologie, Bildung, Fertigung und Gesundheitswesen. 2023 waren davon wohl 74 Organisationen weltweit betroffen,
- die Gruppe verbreitet ihre Ransomware vor allem durch die Ausnutzung anfälliger Dienste oder öffentlich zugänglicher Anlagen oder Anwendungen mit bekannten ungepatchten Schwachstellen und die Entführung legitimer Konten, wobei sie häufig anfängliche Zugangsvermittler für die Infiltration nutzt, und
- die Gruppe nutzt einen öffentlichen Telegram-Kanal namens „Information Support“, auf dem Dateien kompromittierter Organisationen geteilt werden und der leichter zugänglich ist als herkömmliche Onion-Seiten.
Die Multi-Erpressungsstrategie von Medusa bestätige das jüngste Statement von Unit 42, nämlich dass die Zahl der Ransomware-Angriffe mit Multi-Extortion zwischen 2022 und 2023 um 37 Prozent zunehmen wird (Palo Alto Networks Quartalszahlen Q1’24).
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
