{"id":7195,"date":"2024-09-21T00:56:14","date_gmt":"2024-09-20T22:56:14","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=7195"},"modified":"2024-09-21T00:56:14","modified_gmt":"2024-09-20T22:56:14","slug":"medusa-ransomware","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2024\/09\/21\/medusa-ransomware\/","title":{"rendered":"Medusa ransomware"},"content":{"rendered":"<p><span style=\"font-size: 14pt;\"><a href=\"https:\/\/www.bitdefender.com\/blog\/businessinsights\/medusa-ransomware-a-growing-threat-with-a-bold-online-presence?blaid=6504624%2F%2F%2F\" target=\"_blank\" rel=\"noopener\">Kompanija <em>Bitdefender<\/em> je identifikovala<\/a> zna\u010dajnu prijetnju vladinim sektorima \u0161irom sveta \u2013 <em>ransomware<\/em> grupu pod nazivom <em>Medusa<\/em>. Napadi ove grupe su se pro\u0161irili \u0161irom sveta, poga\u0111aju\u0107i kompanije i institucije u razli\u010ditim zemljama kao \u0161to su Sjedinjene Ameri\u010dke Dr\u017eave, Izrael, Engleska, Australija i mnoge druge. <em>Ransomware <\/em>grupa je pokazala \u0161irok opseg ciljeva, uklju\u010duju\u0107i industrije od zdravstvene za\u0161tite do proizvodnje, obrazovanja, finansija i druge industrije koje su postale \u017ertve njihove taktike primjene <em>ransomware<\/em> <a href=\"https:\/\/sajberinfo.com\/en\/2021\/09\/26\/malware\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjernog softvera<\/a>.<\/span><\/p>\n<div id=\"attachment_7196\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-7196\" class=\"size-full wp-image-7196\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/09\/Medusa-Ransomware.jpg\" alt=\"Medusa\" width=\"1024\" height=\"1024\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/09\/Medusa-Ransomware.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/09\/Medusa-Ransomware-300x300.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/09\/Medusa-Ransomware-150x150.jpg 150w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/09\/Medusa-Ransomware-768x768.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/09\/Medusa-Ransomware-12x12.jpg 12w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/09\/Medusa-Ransomware-80x80.jpg 80w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/09\/Medusa-Ransomware-320x320.jpg 320w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-7196\" class=\"wp-caption-text\"><em>Medusa ransomware; Source: Bing Image Creator<\/em><\/p><\/div>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Sadr\u017eaj<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #ffffff;color:#ffffff\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewbox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #ffffff;color:#ffffff\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewbox=\"0 0 24 24\" version=\"1.2\" baseprofile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/sajberinfo.com\/en\/2024\/09\/21\/medusa-ransomware\/#MEDUSA\">MEDUSA<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/sajberinfo.com\/en\/2024\/09\/21\/medusa-ransomware\/#Mracni_blog\">Mra\u010dni blog<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/sajberinfo.com\/en\/2024\/09\/21\/medusa-ransomware\/#OSINT_Without_Borders\">OSINT Without Borders<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/sajberinfo.com\/en\/2024\/09\/21\/medusa-ransomware\/#Telegram_komunikacija\">Telegram komunikacija<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/sajberinfo.com\/en\/2024\/09\/21\/medusa-ransomware\/#Pocetni_pristup\">Po\u010detni pristup<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/sajberinfo.com\/en\/2024\/09\/21\/medusa-ransomware\/#Postojanost\">Postojanost<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/sajberinfo.com\/en\/2024\/09\/21\/medusa-ransomware\/#Izvrsavanje\">Izvr\u0161avanje<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"https:\/\/sajberinfo.com\/en\/2024\/09\/21\/medusa-ransomware\/#Bocno_kretanje\">Bo\u010dno kretanje<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-9\" href=\"https:\/\/sajberinfo.com\/en\/2024\/09\/21\/medusa-ransomware\/#Tehnike_izbjegavanja\">Tehnike izbjegavanja<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-10\" href=\"https:\/\/sajberinfo.com\/en\/2024\/09\/21\/medusa-ransomware\/#ZAKLJUCAK\">ZAKLJU\u010cAK<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-11\" href=\"https:\/\/sajberinfo.com\/en\/2024\/09\/21\/medusa-ransomware\/#ZASTITA\">ZA\u0160TITA<\/a><\/li><\/ul><\/nav><\/div>\n\n<h2><span class=\"ez-toc-section\" id=\"MEDUSA\"><\/span><strong><em>MEDUSA<\/em><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><em>Medusa<\/em> <em>ransomware <\/em>grupa, iako je relativno mlada u pore\u0111enju sa drugim <em>ransomware <\/em>grupama, brzo je stekla ozlogla\u0161enost. Od svog po\u010detka 2023. godine, ova grupa bilje\u017ei sve vi\u0161e \u017ertava, pa sigurnosni istra\u017eiva\u010di predvi\u0111aju da \u0107e taj broj u 2024. godini biti preko 200 organizacija. Ovo je zna\u010dajan porast u odnosu na 143 \u017ertve u toku 2023. godine i nagla\u0161ava rastu\u0107u zabrinutost oko <em>Medusa<\/em> aktivnosti.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><em>Medusa<\/em> <em>ransomware<\/em> posluje po modelu <em>ransomware<\/em> kao usluga (eng. <em>ransomware-as-a-service \u2013 RaaS<\/em>). To zna\u010di da umjesto da samostalno sprovode napade, oni dozvoljavaju filijalama ili nezavisnim <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/19\/hakeri-crni-sesiri-epizoda-3\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjernim akterima<\/a> da izvr\u0161e napade u zamjenu za dio profita. Povezani zlonamjerni akteri primaju zna\u010dajan dio otkupnine, dok <em>Medusa <\/em>operateri uzimaju manji dio. Ova struktura je omogu\u0107ila da <em>Medusa<\/em> <em>ransomware <\/em>grupa brzo raste i cilja razli\u010dite industrije.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Tako\u0111e je va\u017eno napomenuti da postoje i druge grupe poznate kao <em>MedusaLocker<\/em> (druga\u010diji <em>ransomware<\/em>) i <a href=\"https:\/\/sajberinfo.com\/en\/2024\/07\/14\/povratak-medusa-android-trojanca\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>Medusa<\/em> <em>Android<\/em> zlonamjerni softver<\/a>, koji imaju jedinstvene taktike, tehnike i procedure koje se razlikuju od <em>Medusa<\/em> <em>ransomware <\/em>grupe o kojoj se govori u ovom tekstu. Ono \u0161to ovu grupu izdvaja od drugih <em>ransomware <\/em>grupa je odr\u017eavanje aktivnog profila i na povr\u0161inskom internetu i na mra\u010dnom internetu.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Mracni_blog\"><\/span><strong>Mra\u010dni blog<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\"><em>Medusa<\/em> <em>ransomware <\/em>grupa vodi internet blog na mra\u010dnom internetu dostupan preko <em>Tor<\/em> pregleda\u010da. Ovaj blog sadr\u017ei objave o nedavnim sajber napadima, uklju\u010duju\u0107i ugro\u017eavanja podataka i curenje podataka. \u017drtvama se daje ograni\u010deno vreme da plate otkupninu u bitkoinima kako bi sprije\u010dili objavljivanje ili brisanje podataka. Blog slu\u017ei kao jedno od sredstava za <em>Medusa<\/em> <em>ransomware<\/em> grupu da komunicira sa svojim \u017ertvama i kao prijetnja da \u0107e objaviti podatke ako ne plate otkup.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"OSINT_Without_Borders\"><\/span><strong><em>OSINT<\/em> <em>Without<\/em> <em>Borders<\/em><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Me\u0111utim, ono \u0161to <em>Medusa<\/em> <em>ransomware<\/em> posebno izdvaja od drugih <em>ransomware <\/em>grupa je povezanost sa <em>Open-Source Intelligence \u2013 OSINT<\/em> platformom pod nazivom <em>OSINT<\/em> <em>Without<\/em> <em>Borders<\/em>. Ovo neobi\u010dno prisustvo na javnom internetu slu\u017ei kao platforma koja objavljuje detaljne informacije o ugro\u017eavanju podataka, zlonamjernim aktivnostima, pa \u010dak i sadr\u017eaju koji se mo\u017ee preuzeti u vezi sa njihovim curenjem. Pru\u017eaju\u0107i ovu vrstu obavje\u0161tajnih podataka, <em>Medusa<\/em> <em>ransomware<\/em> mo\u017eda poku\u0161ava da se predstavi kao vrijedan resurs za druge zlonamjerne aktere koji tra\u017ee informacije o potencijalnim metama ili ranjivostima. Kako bilo, ovaj vidljivi profil na javnoj mre\u017ei, zajedno sa tradicionalnim operacijama na mra\u010dnom internetu, omogu\u0107io je <em>Medusa<\/em> <em>ransomware <\/em>grupi da dopire do \u0161ire publike i stekne ve\u0107u slavu.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Telegram_komunikacija\"><\/span><strong><em>Telegram<\/em> komunikacija<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Globalni doseg grupe je dodatno poja\u010dan njihovom upotrebom <em>Telegram<\/em> platforme u komunikacijske svrhe. Ova platforma omogu\u0107ava <em>Medusa<\/em> <em>ransomware <\/em>grupi da odr\u017ei prisustvo na javnom i mra\u010dnom internetu, \u0161to olak\u0161ava filijalama da koordiniraju napade, a istovremeno pru\u017ea put za a\u017euriranja i taktike sramo\u0107enja \u017ertava. Lako\u0107a pristupa koju nudi <em>Telegram<\/em> platforma, u kombinaciji sa povezano\u0161\u0107u sa identitetom <em>OSINT<\/em> <em>Without<\/em> <em>Borders<\/em>, doprinjelo je stalnom prisustvu <em>Medusa<\/em> <em>ransomware <\/em>grupe i na javnom i na mra\u010dnom internetu.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Ton komunikacije unutar <em>Telegram<\/em> kanala povezanog sa ovom platformom je vanredan pa\u017enje. Organizator \u010desto blagonaklono govori o <em>Medusa<\/em> <em>ransomware <\/em>grupi, koriste\u0107i izraze kao \u0161to su \u201c<em>moj<\/em> <em>prijatelj<\/em>\u201d i \u201c<em>najbolji<\/em> <em>tim<\/em>\u201d. Ovo o\u010digledno drugarstvo moglo bi ukazivati na dinamiku blisko povezane grupe ili \u010dak na potencijalnu saradnju izme\u0111u <em>ransomware <\/em>operatera i organizatora kanala za podr\u0161ku informacijama.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Stalno prisustvo i lako\u0107a pristupa <em>Telegram<\/em> kanala su zna\u010dajni faktori koji doprinose kontinuiranom uspehu <em>Medusa<\/em> <em>ransomware <\/em>grupe. Platforma pru\u017ea pogodno sredstvo za \u0161irenje informacija o curenju podataka i informacijama vezanim za njihove aktivnosti, dodatno pro\u0161iruju\u0107i njihov doseg i uticaj. Sve ovo sugeri\u0161e da grupa mo\u017ee koristiti razli\u010dite internet resurse u svojim operacijama.<\/span><\/p>\n<p><em>\u00a0<\/em><\/p>\n<h3><span class=\"ez-toc-section\" id=\"Pocetni_pristup\"><\/span><strong>Po\u010detni pristup<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Primarna strategija koju koristi <em>Medusa<\/em> <em>ransomware<\/em> za ulazak u ciljne sisteme oslanja se na iskori\u0161tavanje poznatih ranjivosti. Jedan takav primjer je ranjivost <em>Fortinet<\/em> <em>EMS<\/em> <em>SQL<\/em> injekcije (<a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2023-48788\" target=\"_blank\" rel=\"noopener\"><em>CVE-2023-48788<\/em><\/a><em> \u2013 CVSS <\/em>ocjena 9.8). Ova ranjivost uti\u010de na okru\u017eenja koja imaju instalirane <em>Fortinet<\/em> <em>EMS<\/em> verzije <em>7.2<\/em> do <em>7.2.2<\/em> i <em>7.0.1<\/em> do <em>7.0.10<\/em> za upravljanje krajnjim ure\u0111ajima i pru\u017ea mogu\u0107nost zlonamjernim akterima da po\u0161alju zlonamjerne <em>veb<\/em> zahteve koji sadr\u017ee <em>SQL<\/em> izjave. Ovi zlonamjerni ulazi su dizajnirani da manipuli\u0161u parametrom <em>FCTUID<\/em> koji se nalazi u zaglavljima zahteva i proslje\u0111uje <em>Fortinet<\/em> <em>FCTDas<\/em> servisu.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Postojanost\"><\/span><strong>Postojanost<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Jedna od primarnih taktika koje koristi ova grupa je upotreba alata za kompromitovano daljinsko pra\u0107enje i upravljanje (eng. <em>Remote Monitoring and Management \u2013 RMM<\/em>) u njihovim kampanjama kao \u0161to su <em>ConnectWise<\/em>, <em>PDQDeploy<\/em> i <a href=\"https:\/\/sajberinfo.com\/en\/2021\/12\/05\/anydesk-softver-iskoristen-za-sirenje-ransomware-a\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>AnyDesk<\/em><\/a>. Ovi alati za daljinsko pra\u0107enje i upravljanje (<em>RMM<\/em>) se \u010desto stavljaju na listu dozvoljenih aplikacija, \u0161to ih \u010dini manje sumnjivim za bezbjednosne sisteme.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Nakon dobijanja pristupa preko ovih kompromitovanih alata daljinsko pra\u0107enje i upravljanje, <em>Medusa<\/em> <em>ransomware<\/em> zavr\u0161ava proces evidentiranja aplikacija u okru\u017eenju \u017ertve. Ovo omogu\u0107ava zlonamjernom akteru da potvrdi tipove programa koje mo\u017ee da predstavi korisniku, maskiraju\u0107i svoju kompromitovanu iteraciju programa kao legitimnu verziju.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Jednom kada se kompromitovani program i drugi <a href=\"https:\/\/sajberinfo.com\/en\/2023\/04\/11\/payload\/\" target=\"_blank\" rel=\"nofollow noopener\">korisni tereti<\/a> (eng. <em>payloads<\/em>) prenesu na sistem \u017ertve preko <em>bitsadmin<\/em> sistemskog alata, <em>Medusa<\/em> <em>ransomware<\/em> nastavlja svoj lanac napada i izbjegava sumnju zbog pouzdanog instalera povezanog sa alatom daljinsko pra\u0107enje i upravljanje (<em>RMM<\/em>). U fazi izvr\u0161avanja, <em>PowerShell<\/em> komande se izvr\u0161avaju kako bi se modifikovale vrijednost klju\u010deva sistemskih registara na ure\u0111ajima \u017ertve, kao \u0161to je pokretanje u <em>HKLM<\/em> i <em>HKCU<\/em> kako bi se osiguralo da se izvr\u0161enje zlonamjernog softvera dogodi pri pokretanju.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Izvrsavanje\"><\/span><strong>Izvr\u0161avanje<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\"><em>Medusa<\/em> <em>ransomware<\/em> koristi <em>PowerShell<\/em> skripte tokom faze izvr\u0161avanja. Ove skripte se koriste za pokretanje komandi koje uti\u010du na sisteme inficiranog korisnika, eksfiltriraju podatke i upu\u0107uju na izvr\u0161ni i binarni k\u00f4d potreban za pokretanje <em>ransomware <\/em>napada i izvo\u0111enje <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/20\/enkripcija-podataka-istorija-i-osnove-epizoda-1\/\" target=\"_blank\" rel=\"nofollow noopener\">\u0161ifrovanja<\/a> podataka.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">U fazi izvr\u0161avanja izvr\u0161ava se <em>gaze.exe<\/em> koji ubija mno\u0161tvo usluga izdavanjem <em>net<\/em> komande. Tako\u0111e u\u010ditava datoteke koje upu\u0107uju na <em>Tor<\/em> veze za radnje eksfiltracije podataka. <em>Ransomware<\/em> koristi\u00a0 asimetri\u010dnu <em>RSA<\/em> <a href=\"https:\/\/sajberinfo.com\/en\/2022\/04\/10\/enkripcija-podataka-funkcionisanje-i-vrste-epizoda-2\/\" target=\"_blank\" rel=\"nofollow noopener\">enkripciju<\/a> za k\u00f4diranje ciljanih datoteka i direktorijuma koji uklju\u010duju kopiju sopstvene <em>ransomware <\/em>bilje\u0161ke.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Bocno_kretanje\"><\/span><strong>Bo\u010dno kretanje<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Metodu <a href=\"https:\/\/sajberinfo.com\/en\/2023\/11\/09\/lateral-movement\/\" target=\"_blank\" rel=\"nofollow noopener\">bo\u010dnog kretanja<\/a> koristi <em>Medusa<\/em> <em>ransomware<\/em> za \u0161irenje sa jednog kompromitovanog sistema na drugi unutar mre\u017ee. Ovo se posti\u017ee prenosom zlonamjernih datoteka sa <em>Medusa<\/em> veb komandnog okru\u017eenja na po\u010detno zara\u017eenom ure\u0111aju na druge ure\u0111aje \u017ertve pomo\u0107u alata kao \u0161to su <em>bitsadmin<\/em> ili <em>PSExec<\/em>. Ovi alati omogu\u0107avaju daljinsko izvr\u0161avanje komandi i prenos datoteka, omogu\u0107avaju\u0107i <em>Medusa<\/em> <em>ransomware<\/em> zlonamjernom softveru da se kre\u0107e bo\u010dno preko mre\u017ee.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Tehnike_izbjegavanja\"><\/span><strong>Tehnike izbjegavanja<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\"><em>Medusa<\/em> <em>ransomware <\/em>ima strategiju izbjegavanja odbrambenih mehanizama koja uklju\u010duje instaliranje zlonamjerne verzije alata za daljinsko pra\u0107enje i upravljanje (<em>RMM<\/em>) na ure\u0111aju. Ovaj zlonamjerni softver zatim u\u010ditava ranjive upravlja\u010dke softvere da bi identifikovao usluge povezane sa rje\u0161enjima protiv zlonamjernog softvera i drugim bezbjednosnim softverom. Upravlja\u010dki programi evidentiraju aktivne procese, upu\u0107uju\u0107i ih na datu listu i zaustavljaju specifi\u010dne procese koji se podudaraju. Trenutno, <em>Medusa<\/em> <em>ransomware <\/em>resursi koji su zadu\u017eeni za borbu protiv otkrivanja su u stanju da ubiju vi\u0161e od dvije stotine procesa. Ova strategija omogu\u0107ava Meduzi da izbjegne otkrivanje kori\u0161tenje ovih bezbjednosnih mjera.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZAKLJUCAK\"><\/span><strong>ZAKLJU\u010cAK<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><em>Medusa<\/em> <em>ransomware <\/em>je uticajna <em>ransomware <\/em>grupa sa globalnim otiskom, koja ubrzano pove\u0107ava broj \u017ertava od 2023. godine. Model poslovanja <em>ransomware<\/em> kao usluga (<em>RaaS<\/em>) je omogu\u0107io da <em>ransomware <\/em>grupa brzo raste i cilja razli\u010dite industrije. Njihove aktivnosti obuhvataju vi\u0161e sektora \u0161irom sveta, pokazuju\u0107i prilagodljivost razli\u010ditim pejza\u017eima <a href=\"https:\/\/sajberinfo.com\/en\/2018\/12\/23\/sajber-bezbjednost\/\" target=\"_blank\" rel=\"nofollow noopener\">sajber bezbjednosti<\/a>. Njihove aktivnosti sugeri\u0161u da su veoma vje\u0161ti i uporni u svojim napadima, a procjene pokazuju pove\u0107ani broj inficiranih korisnika tokom 2024. godine.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Povezivanje grupe sa <em>OSINT<\/em> platformom \u201c<em>OSINT<\/em> <em>Without<\/em> <em>Borders<\/em>\u201d sugeri\u0161e potencijalnu upotrebu inteligencije otvorenog k\u00f4da u njihovim operacijama. Ton i jezik koji se koriste u okviru <em>Telegram<\/em> kanala povezanog sa ovom platformom nagovje\u0161tavaju slo\u017eene odnose izme\u0111u uklju\u010denih strana, dok stalno prisustvo na platformi doprinosi kontinuiranom uspehu <em>Medusa<\/em> <em>ransomware<\/em> zlonamjernog softvera. Svakako je potrebno dalje istra\u017eivanje da bi se u potpunosti razumjela dinamika unutar grupe i njihov ukupni uticaj na globalnu sajber bezbjednost.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZASTITA\"><\/span><strong>ZA\u0160TITA<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Da bi se efikasno za\u0161titile od <em>Medusa<\/em> <em>ransomware<\/em> zlonamjernog softvera, organizacije treba da primjene vi\u0161eslojni bezbjednosni pristup. Evo pregleda nekih preporu\u010denih strategija:<\/span><\/p>\n<ol>\n<li><span style=\"font-size: 14pt;\">Prakse prevencije:<\/span>\n<ul>\n<li><span style=\"font-size: 14pt;\">Redovno primjenjivati a\u017euriranja i ispravke za sve sisteme kako bi se smanjile ranjivosti koje <em>Medusa<\/em> <em>ransomware<\/em> ili druge porodice zlonamjernog softvera mogu da iskoriste. Ovo uklju\u010duje a\u017euriranja operativnog sistema, ispravke aplikacija i a\u017euriranja upravlja\u010dkih programa,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Identifikovati potencijalne rizike u mre\u017enoj infrastrukturi i primijeniti mjere za njihovo ubla\u017eavanje. Na primjer, ograni\u010davanje pristupa osjetljivim podacima, primjena principa najmanje privilegija i primjena jakih politika lozinki mogu pomo\u0107i u smanjenju <a href=\"https:\/\/sajberinfo.com\/en\/2023\/03\/24\/povrsina-napada-uvod-epizoda-1\/\" target=\"_blank\" rel=\"nofollow noopener\">povr\u0161ina napada<\/a>,<\/span><\/li>\n<\/ul>\n<\/li>\n<li><span style=\"font-size: 14pt;\">Praksa za\u0161tite:<\/span>\n<ul>\n<li><span style=\"font-size: 14pt;\">Implementirati robusnu mre\u017enu bezbjednosnu arhitekturu koja uklju\u010duje za\u0161titne zidove, sisteme za otkrivanje upada (eng. <em>intrusion detection systems \u2013 IDS<\/em>) i sisteme za spre\u010davanje upada (eng. <em>intrusion prevention systems \u2013 IPS<\/em>) za nadgledanje i kontrolu dolaznog i odlaznog saobra\u0107aja. Redovno pregledajte i a\u017eurirajte skupove pravila za ove ure\u0111aje kako biste bili sigurni da su efikasni protiv poznatih taktika <em>Medusa<\/em> <em>ransomware<\/em> zlonamjernog softvera,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Primijeniti <a href=\"https:\/\/sajberinfo.com\/en\/2021\/08\/17\/antivirusni-softver\/\" target=\"_blank\" rel=\"nofollow noopener\">antivirusni softver<\/a> koji mo\u017ee da otkrije i sprije\u010di izvr\u0161enje zlonamjernih datoteka, uklju\u010duju\u0107i one prenete pomo\u0107u alata kao \u0161to su <em>bitsadmin<\/em> ili <em>PSExec<\/em>. Pored toga, razmislite o primjeni softvera za detekciju i odgovor na prijetnje (eng. <em>Endpoint detection and response \u2013 EDR<\/em>) za pra\u0107enje sumnjivih aktivnosti na krajnjim ure\u0111ajima,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Sprovesti mjere za\u0161tite specifi\u010dne za <em>ransomware<\/em> zlonamjerni softver, kao \u0161to su rje\u0161enja za izradu <a href=\"https:\/\/sajberinfo.com\/en\/2020\/11\/02\/rezervna-kopija-i-cuvanje-podataka\/\" target=\"_blank\" rel=\"nofollow noopener\">rezervne kopije<\/a> koja mogu pomo\u0107i u oporavku podataka u slu\u010daju napada. Redovno testirati rezervne kopije da bi se osiguralo da rade ispravno i \u010duvati ih van mre\u017ee ili na zasebnoj lokaciji kako bi se sprije\u010dilo da ih \u0161ifruje <em>ransomware<\/em> zlonamjerni softver,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Implementirati rje\u0161enja za filtriranje elektronske po\u0161te da bi se blokirale <a href=\"https:\/\/sajberinfo.com\/en\/2022\/01\/02\/phishing-meta-su-ljudi-ne-tehnologija\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>phishing<\/em> <\/a>elektronske poruke koje sadr\u017ee zlonamjerne priloge koji mogu da isporu\u010de <em>Medusa<\/em> <em>ransomware<\/em> korisne terete. Ovo uklju\u010duje filtere za ne\u017eeljenu po\u0161tu, skenere sadr\u017eaja i alate za analizu u izolovanom okru\u017eenju (eng. <em>sandbox<\/em>),<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Koristite rje\u0161enja za obavje\u0161tavanje o prijetnji da bi se stekao uvid u taktike, tehnike i procedure <em>(TTP)<\/em> koje koristi <em>Medusa<\/em> <em>ransomware<\/em>. Ova rje\u0161enja mogu pomo\u0107i organizacijama da budu ispred novih prijetnji pru\u017eanjem informacija u realnom vremenu o novim vektorima napada, indikatorima kompromisa (eng. <em>indicators of compromise \u2013 IOC<\/em>) i drugim relevantnim podacima,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Implementirati bezbjednosna rje\u0161enja koja mogu automatski blokirati saobra\u0107aj sa poznatih zlonamjernih <em>IP<\/em> adresa ili domena povezanih sa <em>Medusa<\/em> <em>ransomware<\/em> zlonamjernim softverom,<\/span><\/li>\n<\/ul>\n<\/li>\n<li><span style=\"font-size: 14pt;\">Izbjegavanje odbrane: Da bi se suprostavile tehnikama izbjegavanja odbrane koje koristi <em>Medusa<\/em> <em>ransomware<\/em>, organizacije treba da:<\/span>\n<ul>\n<li><span style=\"font-size: 14pt;\">Nadgledaju i sprije\u010de u\u010ditavanje ranjivih upravlja\u010dkih softvera na ure\u0111aje, jer oni mogu da se koriste za zloupotrebu usluga povezanih sa bezbjednosnim softverom,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Sprovesti mjere za za\u0161titu od tehnika zaobila\u017eenja od strane zlonamjernog softvera, kao \u0161to je stavljanje odobrenih aplikacija na listu dozvoljenih aplikacija i ograni\u010davanje izvr\u0161avanja neovla\u0161tenih procesa,<\/span><\/li>\n<\/ul>\n<\/li>\n<li><span style=\"font-size: 14pt;\">Odgovor na incident: Razvijati i odr\u017eavati <a href=\"https:\/\/sajberinfo.com\/en\/2020\/10\/26\/plan-odgovora-na-sajber-prijetnju\/\" target=\"_blank\" rel=\"nofollow noopener\">Plan odgovora na sajber prijetnju<\/a>, koji navodi korake koje treba preduzeti kada do\u0111e do <em>ransomware\u00a0 <\/em>napada, uklju\u010duju\u0107i:<\/span>\n<ul>\n<li><span style=\"font-size: 14pt;\">Identifikaciju izvora infekcije,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Obuzdavanje \u0161irenja zlonamjernog softvera unutar mre\u017ee,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Iskorjenjivanje zlonamjernog softvera iz zara\u017eenih sistema,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Oporavak ure\u0111aja kori\u0161tenjem podataka iz rezervnih kopija ili drugih izvora,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Obavje\u0161tavanje relevantnih organa i tre\u0107ih lica u skladu sa zakonom ili politikom.<\/span><\/li>\n<\/ul>\n<\/li>\n<\/ol>","protected":false},"excerpt":{"rendered":"<p>Kompanija Bitdefender je identifikovala zna\u010dajnu prijetnju vladinim sektorima \u0161irom sveta \u2013 ransomware grupu pod nazivom Medusa. Napadi ove grupe su se pro\u0161irili \u0161irom sveta, poga\u0111aju\u0107i kompanije i institucije u razli\u010ditim zemljama kao \u0161to su&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":7196,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[2110,1818,2105,894,2109,2103,2106,2108,2102,2104,2112,2111,2107],"class_list":["post-7195","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-australia-attacks","tag-cybercrime","tag-dark-web","tag-data-breach","tag-england-attacks","tag-expedient-rate-attacks","tag-global-attacks","tag-israel-attacks","tag-medusa-ransomware","tag-osint-without-borders","tag-ransomware-campaign","tag-ransomware-deployment","tag-us-attacks"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/7195","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=7195"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/7195\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/7196"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=7195"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=7195"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=7195"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}