Les acteurs menaçants associés au Ransomware Méduse ont intensifié leurs activités après le lancement d’un site dédié aux fuites de données sur le dark web en février 2023 pour publier les données sensibles des victimes qui ne veulent pas accéder à leurs demandes.
« Dans le cadre de leur stratégie multi-extorsion, ce groupe offrira aux victimes plusieurs options lorsque leurs données sont publiées sur leur site de fuite, comme la prolongation du délai, la suppression des données ou le téléchargement de toutes les données », Anthony, chercheur de l’unité 42 de Palo Alto Networks. Galiette et Doel Santos dit dans un rapport partagé avec The Hacker News.
« Toutes ces options ont un prix qui dépend de l’organisation touchée par ce groupe. »
Medusa (à ne pas confondre avec Medusa Locker) fait référence à une famille de ransomwares apparue fin 2022 avant de prendre de l’importance en 2023. Elle est connue pour cibler de manière opportuniste un large éventail d’industries telles que la haute technologie, l’éducation, la fabrication, la santé et la vente au détail. .
On estime que pas moins de 74 organisations, principalement aux États-Unis, au Royaume-Uni, en France, en Italie, en Espagne et en Inde, ont été touchées par le ransomware en 2023.
Les attaques de ransomware orchestrées par le groupe commencent par l’exploitation d’actifs ou d’applications Internet présentant des vulnérabilités connues non corrigées et par le détournement de comptes légitimes, en employant souvent des courtiers d’accès initiaux pour prendre pied sur les réseaux cibles.
Dans un cas observé par la société de cybersécurité, un serveur Microsoft Exchange a été exploité pour télécharger un shell Web, qui a ensuite été utilisé comme canal pour installer et exécuter le logiciel de surveillance et de gestion à distance (RMM) ConnectWise.
Un aspect notable des infections est le recours aux techniques de vie de la terre (LotL) pour se fondre dans les activités légitimes et contourner la détection. On observe également l’utilisation d’une paire de pilotes du noyau pour mettre fin à une liste codée en dur de produits de sécurité.
La phase d’accès initiale est suivie par la découverte et la reconnaissance du réseau compromis, les acteurs lançant finalement le ransomware pour énumérer et chiffrer tous les fichiers, à l’exception de ceux portant les extensions .dll, .exe, .lnk et .medusa (l’extension donnée). aux fichiers cryptés).
Pour chaque victime compromise, le site de fuite de Medusa affiche des informations sur les organisations, la rançon demandée, le temps restant avant que les données volées ne soient rendues publiques et le nombre de vues dans le but d’exercer une pression sur l’entreprise.
Les acteurs proposent également différents choix à la victime, qui impliquent tous une forme d’extorsion pour supprimer ou télécharger les données volées et demander une prolongation de délai pour empêcher la divulgation des données.
Alors que les ransomwares continuent de constituer une menace endémique, ciblant les entreprises technologiques, les soins de santé, les infrastructures critiques et tout le reste, les auteurs de la menace sont de plus en plus effrontés dans leurs tactiques, allant au-delà de la dénonciation publique et de l’humiliation des organisations en recourant à des menaces de violence physique. et même des canaux de relations publiques dédiés.
« Les ransomwares ont changé de nombreuses facettes du paysage des menaces, mais un développement récent clé est leur marchandisation et leur professionnalisation croissantes », ont déclaré les chercheurs de Sophos le mois dernier, qualifiant les gangs de ransomwares de « de plus en plus avertis en matière de médias ».
Medusa, selon l’unité 42, dispose non seulement d’une équipe médiatique pour gérer probablement ses efforts de branding, mais exploite également un canal Telegram public appelé « support d’information », où les fichiers des organisations compromises sont partagés et accessibles via Clearnet. La chaîne a été créée en juillet 2021.
« L’émergence du ransomware Medusa fin 2022 et sa notoriété en 2023 marquent une évolution significative dans le paysage des ransomwares », estiment les chercheurs. « Cette opération présente des méthodes de propagation complexes, exploitant à la fois les vulnérabilités du système et les courtiers d’accès initiaux, tout en évitant habilement la détection grâce à des techniques de vie hors du terrain. »
Cette évolution intervient alors qu’Arctic Wolf Labs a rendu public deux cas dans lesquels des victimes des gangs de ransomwares Akira et Royal ont été ciblées par des tiers malveillants se faisant passer pour des chercheurs en sécurité pour des tentatives d’extorsion secondaires.
« Les acteurs de la menace ont raconté qu’ils essayaient d’aider les organisations victimes, en proposant de pirater l’infrastructure des serveurs des groupes de ransomwares impliqués à l’origine pour supprimer les données exfiltrées », ont déclaré les chercheurs en sécurité Stefan Hostetler et Steven Campbell. ditnotant que l’acteur menaçant recherchait environ 5 bitcoins en échange du service.
Il s’ensuit également un nouvel avis du Centre national finlandais de cybersécurité (NCSC-FI) à propos d’un pic d’incidents de ransomware Akira dans le pays vers la fin 2023 en exploitant une faille de sécurité dans les appareils VPN Cisco (CVE-2023-20269, score CVSS : 5,0) pour violer entités nationales.