Unit 42 Onderzoek: Medusa Ransomware versteent jouw bestanden

Amsterdam, 15 januari 2024 – Unit 42, de onderzoeksgroep van Palo Alto Networks, heeft een onderzoek gepubliceerd waarin aangetoond wordt dat in de meest recente ransomware-activiteit data-exploitatie mogelijk 74 organisaties wereldwijd heeft getroffen in 2023. Het gaat om verschillende sectoren, waaronder hightech, onderwijs, productie en gezondheidszorg. Als onderdeel van de multi-extortionstrategie biedt deze groep slachtoffers meerdere opties wanneer hun gegevens op hun dedicated leak site (DLS) worden geplaatst, zoals tijdverlenging, gegevensverwijdering of het downloaden van alle gegevens.

Deze aanvallen zijn uitgevoerd door Medusa ransomware. Het dook eind 2022 op als een ransomware-as-a-service (RaaS)-platform en kreeg bekendheid begin 2023, voornamelijk gericht op Windows-omgevingen. Medusa verspreidt ransomware voornamelijk via de exploitatie van kwetsbare diensten en het kapen van legitieme accounts. Hierbij wordt vaak gebruikgemaakt van initiële toegangsbrokers voor infiltratie.

Analisten van Unit 42 Threat Intelligence hebben een escalatie opgemerkt in de activiteiten van Medusa ransomware en een verschuiving van de afpersingstactiek. Dit wordt gekenmerkt door de introductie begin 2023 van hun speciale ‘lek’-site genaamd het Medusa Blog. Medusa-dreigingsactoren gebruiken deze site om gevoelige gegevens vrij te geven van slachtoffers die niet willen voldoen aan hun losgeldeisen. Als onderdeel van hun multi-extortionstrategie biedt deze groep de slachtoffers meerdere opties wanneer hun gegevens op de leksite worden geplaatst, zoals tijdverlenging, gegevensverwijdering of het downloaden van alle gegevens. Aan al deze opties hangt een prijskaartje, afhankelijk van de organisatie die door deze groep wordt getroffen.

Naast hun strategie om een ‘onion’-site te gebruiken voor afpersing, maken Medusa-dreigingsactoren ook gebruik van een openbaar Telegram-kanaal genaamd “information support”, waar bestanden van gecompromitteerde organisaties openbaar worden gedeeld en toegankelijker zijn dan traditionele onionsites. Het Incident Response-team van Unit 42 heeft ook gereageerd op een Medusa ransomware-incident, waardoor er interessante tactieken, tools en procedures zijn ontdekt die worden gebruikt door Medusa-dreigingsactoren.

Palo Alto Networks-klanten zijn beter beschermd tegen ransomware gebruikt door de Medusa-ransomwaregroep door Cortex XDR, evenals door de WildFire Cloud-Delivered Security Services voor de Next-Generation Firewall. Met name de Cortex XDR-agent bevatte voorgeprogrammeerde bescherming die schadelijk gedrag van geteste Medusa-ransomwaremonsters voorkwam, zonder dat specifieke detectielogica of -handtekeningen noodzakelijk waren. Prisma Cloud Defender Agents kunnen Windows virtuele machine-instanties controleren op bekende Medusa-malware. Cortex Xpanse kan worden gebruikt om kwetsbare services te detecteren die rechtstreeks zijn blootgesteld aan internet en die mogelijk kunnen worden misbruikt en geïnfecteerd met Medusa of andere ransomware.

Het Unit 42 Incident Response-team kan ook worden ingeschakeld om te helpen bij een compromittering of om een proactieve beoordeling uit te voeren om uw risico te verlagen.

Het volledige blog kun je hier vinden.