Ascensão do Ransomware Medusa: De Vazamentos de Dados à Extorsão Múltipla
15 de Janeiro de 2024

Os atores de ameaças associados ao ransomware Medusa intensificaram suas atividades após a estreia de um site dedicado a vazamento de dados na dark web, em fevereiro de 2023, para publicar dados sensíveis de vítimas que não concordam com suas demandas.

"Como parte de sua estratégia de extorsão múltipla, este grupo fornecerá às vítimas várias opções quando seus dados forem postados em seu site de vazamento, como extensão de tempo, exclusão de dados ou download de todos os dados", disseram os pesquisadores da Unit 42 da Palo Alto Networks, Anthony Galiette e Doel Santos, em um relatório compartilhado com The Hacker News.

"Todas essas opções têm um preço, dependendo da organização impactada por este grupo."

Medusa (não confundir com Medusa Locker) se refere a uma família de ransomware que apareceu no final de 2022, antes de ganhar destaque em 2023.

É conhecida por visar oportunamente uma ampla gama de indústrias, como alta tecnologia, educação, produção, saúde e varejo.

Estima-se que até 74 organizações, principalmente nos EUA, Reino Unido, França, Itália, Espanha e Índia, tenham sido impactadas pelo ransomware em 2023.

Ataques de ransomware orquestrados pelo grupo começam com a exploração de ativos ou aplicações expostos na internet com vulnerabilidades conhecidas não corrigidas e sequestro de contas legítimas, geralmente usando corretores de acesso inicial para obter um ponto de apoio nas redes alvo.

Em um caso observado pela empresa de segurança cibernética, um servidor Microsoft Exchange foi explorado para carregar um shell da web, que foi então usado como conduto para instalar e executar o software de monitoramento e gerenciamento remoto (RMM) da ConnectWise.

Um aspecto notável das infecções é a dependência de técnicas de viver da terra (LotL) para se misturar à atividade legítima e evitar a detecção.

Também foi observado o uso de um par de drivers de kernel para encerrar uma lista codificada de produtos de segurança.

O acesso inicial é seguido pela descoberta e reconhecimento da rede comprometida, com os atores lançando finalmente o ransomware para enumerar e criptografar todos os arquivos, menos aqueles com as extensões .dll, .exe, .lnk e .medusa (a extensão dada aos arquivos criptografados).

Para cada vítima comprometida, o site de vazamentos da Medusa exibe informações sobre as organizações, resgate exigido, o tempo restante antes que os dados roubados sejam divulgados publicamente, e o número de visualizações na tentativa de pressionar a empresa.

Os atores também oferecem diferentes escolhas à vítima, todas envolvendo alguma forma de extorsão para excluir ou baixar os dados roubados e buscar uma extensão de tempo para evitar a liberação dos dados.

Enquanto o ransomware continua a ser uma ameaça crescente, visando empresas de tecnologia, saúde, infraestrutura crítica e tudo o que há entre eles, os atores de ameaças por trás dele estão ficando mais audaciosos em suas táticas, indo além de nomear e envergonhar publicamente as organizações ao recorrer a ameaças de violência física e até canais de relações públicas dedicados.

"O ransomware mudou muitas facetas da paisagem de ameaças, mas um desenvolvimento recente chave é sua crescente mercantilização e profissionalização", disseram os pesquisadores da Sophos no mês passado, chamando os grupos de ransomware de "cada vez mais experientes em mídia".

Medusa, segundo a Unit 42, não só tem uma equipe de mídia para provavelmente cuidar de seus esforços de marca, mas também utiliza um canal público no Telegram chamado "suporte de informação", onde os arquivos das organizações comprometidas são compartilhados e podem ser acessados na clearnet.

O canal foi criado em julho de 2021.

"A emergência do ransomware Medusa no final de 2022 e sua notoriedade em 2023 marca um desenvolvimento significativo na paisagem do ransomware," disseram os pesquisadores.

"Esta operação mostra métodos complexos de propagação, aproveitando tanto as vulnerabilidades do sistema quanto os corretores de acesso inicial, além de evitar habilmente a detecção através de técnicas de viver da terra."

A atualização vem após a Arctic Wolf Labs ter divulgado dois casos em que as vítimas dos grupos de ransomware Akira e Royal foram alvo de terceiros maliciosos posando como pesquisadores de segurança para tentativas de extorsão secundária.

"Os atores de ameaças criaram uma narrativa de tentar ajudar as organizações vítimas, oferecendo hackear a infraestrutura do servidor dos grupos de ransomware originais envolvidos para apagar os dados exfiltrados", disseram os pesquisadores de segurança Stefan Hostetler e Steven Campbell, observando que o ator de ameaças pediu cerca de 5 bitcoins em troca do serviço.

Segue-se também um novo aviso do Centro Nacional de Segurança Cibernética da Finlândia (NCSC-FI) sobre um aumento nos incidentes de ransomware Akira no país no final de 2023, explorando uma falha de segurança nos dispositivos VPN da Cisco ( CVE-2023-20269 , pontuação CVSS: 5.0) para violar entidades domésticas.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...