Medusa ransomware
Kompanija Bitdefender je identifikovala značajnu prijetnju vladinim sektorima širom sveta – ransomware grupu pod nazivom Medusa. Napadi ove grupe su se proširili širom sveta, pogađajući kompanije i institucije u različitim zemljama kao što su Sjedinjene Američke Države, Izrael, Engleska, Australija i mnoge druge. Ransomware grupa je pokazala širok opseg ciljeva, uključujući industrije od zdravstvene zaštite do proizvodnje, obrazovanja, finansija i druge industrije koje su postale žrtve njihove taktike primjene ransomware zlonamjernog softvera.
MEDUSA
Medusa ransomware grupa, iako je relativno mlada u poređenju sa drugim ransomware grupama, brzo je stekla ozloglašenost. Od svog početka 2023. godine, ova grupa bilježi sve više žrtava, pa sigurnosni istraživači predviđaju da će taj broj u 2024. godini biti preko 200 organizacija. Ovo je značajan porast u odnosu na 143 žrtve u toku 2023. godine i naglašava rastuću zabrinutost oko Medusa aktivnosti.
Medusa ransomware posluje po modelu ransomware kao usluga (eng. ransomware-as-a-service – RaaS). To znači da umjesto da samostalno sprovode napade, oni dozvoljavaju filijalama ili nezavisnim zlonamjernim akterima da izvrše napade u zamjenu za dio profita. Povezani zlonamjerni akteri primaju značajan dio otkupnine, dok Medusa operateri uzimaju manji dio. Ova struktura je omogućila da Medusa ransomware grupa brzo raste i cilja različite industrije.
Takođe je važno napomenuti da postoje i druge grupe poznate kao MedusaLocker (drugačiji ransomware) i Medusa Android zlonamjerni softver, koji imaju jedinstvene taktike, tehnike i procedure koje se razlikuju od Medusa ransomware grupe o kojoj se govori u ovom tekstu. Ono što ovu grupu izdvaja od drugih ransomware grupa je održavanje aktivnog profila i na površinskom internetu i na mračnom internetu.
Mračni blog
Medusa ransomware grupa vodi internet blog na mračnom internetu dostupan preko Tor pregledača. Ovaj blog sadrži objave o nedavnim sajber napadima, uključujući ugrožavanja podataka i curenje podataka. Žrtvama se daje ograničeno vreme da plate otkupninu u bitkoinima kako bi spriječili objavljivanje ili brisanje podataka. Blog služi kao jedno od sredstava za Medusa ransomware grupu da komunicira sa svojim žrtvama i kao prijetnja da će objaviti podatke ako ne plate otkup.
OSINT Without Borders
Međutim, ono što Medusa ransomware posebno izdvaja od drugih ransomware grupa je povezanost sa Open-Source Intelligence – OSINT platformom pod nazivom OSINT Without Borders. Ovo neobično prisustvo na javnom internetu služi kao platforma koja objavljuje detaljne informacije o ugrožavanju podataka, zlonamjernim aktivnostima, pa čak i sadržaju koji se može preuzeti u vezi sa njihovim curenjem. Pružajući ovu vrstu obavještajnih podataka, Medusa ransomware možda pokušava da se predstavi kao vrijedan resurs za druge zlonamjerne aktere koji traže informacije o potencijalnim metama ili ranjivostima. Kako bilo, ovaj vidljivi profil na javnoj mreži, zajedno sa tradicionalnim operacijama na mračnom internetu, omogućio je Medusa ransomware grupi da dopire do šire publike i stekne veću slavu.
Telegram komunikacija
Globalni doseg grupe je dodatno pojačan njihovom upotrebom Telegram platforme u komunikacijske svrhe. Ova platforma omogućava Medusa ransomware grupi da održi prisustvo na javnom i mračnom internetu, što olakšava filijalama da koordiniraju napade, a istovremeno pruža put za ažuriranja i taktike sramoćenja žrtava. Lakoća pristupa koju nudi Telegram platforma, u kombinaciji sa povezanošću sa identitetom OSINT Without Borders, doprinjelo je stalnom prisustvu Medusa ransomware grupe i na javnom i na mračnom internetu.
Ton komunikacije unutar Telegram kanala povezanog sa ovom platformom je vanredan pažnje. Organizator često blagonaklono govori o Medusa ransomware grupi, koristeći izraze kao što su “moj prijatelj” i “najbolji tim”. Ovo očigledno drugarstvo moglo bi ukazivati na dinamiku blisko povezane grupe ili čak na potencijalnu saradnju između ransomware operatera i organizatora kanala za podršku informacijama.
Stalno prisustvo i lakoća pristupa Telegram kanala su značajni faktori koji doprinose kontinuiranom uspehu Medusa ransomware grupe. Platforma pruža pogodno sredstvo za širenje informacija o curenju podataka i informacijama vezanim za njihove aktivnosti, dodatno proširujući njihov doseg i uticaj. Sve ovo sugeriše da grupa može koristiti različite internet resurse u svojim operacijama.
Početni pristup
Primarna strategija koju koristi Medusa ransomware za ulazak u ciljne sisteme oslanja se na iskorištavanje poznatih ranjivosti. Jedan takav primjer je ranjivost Fortinet EMS SQL injekcije (CVE-2023-48788 – CVSS ocjena 9.8). Ova ranjivost utiče na okruženja koja imaju instalirane Fortinet EMS verzije 7.2 do 7.2.2 i 7.0.1 do 7.0.10 za upravljanje krajnjim uređajima i pruža mogućnost zlonamjernim akterima da pošalju zlonamjerne veb zahteve koji sadrže SQL izjave. Ovi zlonamjerni ulazi su dizajnirani da manipulišu parametrom FCTUID koji se nalazi u zaglavljima zahteva i prosljeđuje Fortinet FCTDas servisu.
Postojanost
Jedna od primarnih taktika koje koristi ova grupa je upotreba alata za kompromitovano daljinsko praćenje i upravljanje (eng. Remote Monitoring and Management – RMM) u njihovim kampanjama kao što su ConnectWise, PDQDeploy i AnyDesk. Ovi alati za daljinsko praćenje i upravljanje (RMM) se često stavljaju na listu dozvoljenih aplikacija, što ih čini manje sumnjivim za bezbjednosne sisteme.
Nakon dobijanja pristupa preko ovih kompromitovanih alata daljinsko praćenje i upravljanje, Medusa ransomware završava proces evidentiranja aplikacija u okruženju žrtve. Ovo omogućava zlonamjernom akteru da potvrdi tipove programa koje može da predstavi korisniku, maskirajući svoju kompromitovanu iteraciju programa kao legitimnu verziju.
Jednom kada se kompromitovani program i drugi korisni tereti (eng. payloads) prenesu na sistem žrtve preko bitsadmin sistemskog alata, Medusa ransomware nastavlja svoj lanac napada i izbjegava sumnju zbog pouzdanog instalera povezanog sa alatom daljinsko praćenje i upravljanje (RMM). U fazi izvršavanja, PowerShell komande se izvršavaju kako bi se modifikovale vrijednost ključeva sistemskih registara na uređajima žrtve, kao što je pokretanje u HKLM i HKCU kako bi se osiguralo da se izvršenje zlonamjernog softvera dogodi pri pokretanju.
Izvršavanje
Medusa ransomware koristi PowerShell skripte tokom faze izvršavanja. Ove skripte se koriste za pokretanje komandi koje utiču na sisteme inficiranog korisnika, eksfiltriraju podatke i upućuju na izvršni i binarni kôd potreban za pokretanje ransomware napada i izvođenje šifrovanja podataka.
U fazi izvršavanja izvršava se gaze.exe koji ubija mnoštvo usluga izdavanjem net komande. Takođe učitava datoteke koje upućuju na Tor veze za radnje eksfiltracije podataka. Ransomware koristi asimetričnu RSA enkripciju za kôdiranje ciljanih datoteka i direktorijuma koji uključuju kopiju sopstvene ransomware bilješke.
Bočno kretanje
Metodu bočnog kretanja koristi Medusa ransomware za širenje sa jednog kompromitovanog sistema na drugi unutar mreže. Ovo se postiže prenosom zlonamjernih datoteka sa Medusa veb komandnog okruženja na početno zaraženom uređaju na druge uređaje žrtve pomoću alata kao što su bitsadmin ili PSExec. Ovi alati omogućavaju daljinsko izvršavanje komandi i prenos datoteka, omogućavajući Medusa ransomware zlonamjernom softveru da se kreće bočno preko mreže.
Tehnike izbjegavanja
Medusa ransomware ima strategiju izbjegavanja odbrambenih mehanizama koja uključuje instaliranje zlonamjerne verzije alata za daljinsko praćenje i upravljanje (RMM) na uređaju. Ovaj zlonamjerni softver zatim učitava ranjive upravljačke softvere da bi identifikovao usluge povezane sa rješenjima protiv zlonamjernog softvera i drugim bezbjednosnim softverom. Upravljački programi evidentiraju aktivne procese, upućujući ih na datu listu i zaustavljaju specifične procese koji se podudaraju. Trenutno, Medusa ransomware resursi koji su zaduženi za borbu protiv otkrivanja su u stanju da ubiju više od dvije stotine procesa. Ova strategija omogućava Meduzi da izbjegne otkrivanje korištenje ovih bezbjednosnih mjera.
ZAKLJUČAK
Medusa ransomware je uticajna ransomware grupa sa globalnim otiskom, koja ubrzano povećava broj žrtava od 2023. godine. Model poslovanja ransomware kao usluga (RaaS) je omogućio da ransomware grupa brzo raste i cilja različite industrije. Njihove aktivnosti obuhvataju više sektora širom sveta, pokazujući prilagodljivost različitim pejzažima sajber bezbjednosti. Njihove aktivnosti sugerišu da su veoma vješti i uporni u svojim napadima, a procjene pokazuju povećani broj inficiranih korisnika tokom 2024. godine.
Povezivanje grupe sa OSINT platformom “OSINT Without Borders” sugeriše potencijalnu upotrebu inteligencije otvorenog kôda u njihovim operacijama. Ton i jezik koji se koriste u okviru Telegram kanala povezanog sa ovom platformom nagovještavaju složene odnose između uključenih strana, dok stalno prisustvo na platformi doprinosi kontinuiranom uspehu Medusa ransomware zlonamjernog softvera. Svakako je potrebno dalje istraživanje da bi se u potpunosti razumjela dinamika unutar grupe i njihov ukupni uticaj na globalnu sajber bezbjednost.
ZAŠTITA
Da bi se efikasno zaštitile od Medusa ransomware zlonamjernog softvera, organizacije treba da primjene višeslojni bezbjednosni pristup. Evo pregleda nekih preporučenih strategija:
- Prakse prevencije:
- Redovno primjenjivati ažuriranja i ispravke za sve sisteme kako bi se smanjile ranjivosti koje Medusa ransomware ili druge porodice zlonamjernog softvera mogu da iskoriste. Ovo uključuje ažuriranja operativnog sistema, ispravke aplikacija i ažuriranja upravljačkih programa,
- Identifikovati potencijalne rizike u mrežnoj infrastrukturi i primijeniti mjere za njihovo ublažavanje. Na primjer, ograničavanje pristupa osjetljivim podacima, primjena principa najmanje privilegija i primjena jakih politika lozinki mogu pomoći u smanjenju površina napada,
- Praksa zaštite:
- Implementirati robusnu mrežnu bezbjednosnu arhitekturu koja uključuje zaštitne zidove, sisteme za otkrivanje upada (eng. intrusion detection systems – IDS) i sisteme za sprečavanje upada (eng. intrusion prevention systems – IPS) za nadgledanje i kontrolu dolaznog i odlaznog saobraćaja. Redovno pregledajte i ažurirajte skupove pravila za ove uređaje kako biste bili sigurni da su efikasni protiv poznatih taktika Medusa ransomware zlonamjernog softvera,
- Primijeniti antivirusni softver koji može da otkrije i spriječi izvršenje zlonamjernih datoteka, uključujući one prenete pomoću alata kao što su bitsadmin ili PSExec. Pored toga, razmislite o primjeni softvera za detekciju i odgovor na prijetnje (eng. Endpoint detection and response – EDR) za praćenje sumnjivih aktivnosti na krajnjim uređajima,
- Sprovesti mjere zaštite specifične za ransomware zlonamjerni softver, kao što su rješenja za izradu rezervne kopije koja mogu pomoći u oporavku podataka u slučaju napada. Redovno testirati rezervne kopije da bi se osiguralo da rade ispravno i čuvati ih van mreže ili na zasebnoj lokaciji kako bi se spriječilo da ih šifruje ransomware zlonamjerni softver,
- Implementirati rješenja za filtriranje elektronske pošte da bi se blokirale phishing elektronske poruke koje sadrže zlonamjerne priloge koji mogu da isporuče Medusa ransomware korisne terete. Ovo uključuje filtere za neželjenu poštu, skenere sadržaja i alate za analizu u izolovanom okruženju (eng. sandbox),
- Koristite rješenja za obavještavanje o prijetnji da bi se stekao uvid u taktike, tehnike i procedure (TTP) koje koristi Medusa ransomware. Ova rješenja mogu pomoći organizacijama da budu ispred novih prijetnji pružanjem informacija u realnom vremenu o novim vektorima napada, indikatorima kompromisa (eng. indicators of compromise – IOC) i drugim relevantnim podacima,
- Implementirati bezbjednosna rješenja koja mogu automatski blokirati saobraćaj sa poznatih zlonamjernih IP adresa ili domena povezanih sa Medusa ransomware zlonamjernim softverom,
- Izbjegavanje odbrane: Da bi se suprostavile tehnikama izbjegavanja odbrane koje koristi Medusa ransomware, organizacije treba da:
- Nadgledaju i spriječe učitavanje ranjivih upravljačkih softvera na uređaje, jer oni mogu da se koriste za zloupotrebu usluga povezanih sa bezbjednosnim softverom,
- Sprovesti mjere za zaštitu od tehnika zaobilaženja od strane zlonamjernog softvera, kao što je stavljanje odobrenih aplikacija na listu dozvoljenih aplikacija i ograničavanje izvršavanja neovlaštenih procesa,
- Odgovor na incident: Razvijati i održavati Plan odgovora na sajber prijetnju, koji navodi korake koje treba preduzeti kada dođe do ransomware napada, uključujući:
- Identifikaciju izvora infekcije,
- Obuzdavanje širenja zlonamjernog softvera unutar mreže,
- Iskorjenjivanje zlonamjernog softvera iz zaraženih sistema,
- Oporavak uređaja korištenjem podataka iz rezervnih kopija ili drugih izvora,
- Obavještavanje relevantnih organa i trećih lica u skladu sa zakonom ili politikom.