Medusa fidye yazılımlarının arkasındaki tehdit aktörleri, Ocak 2023’te ilk ortaya çıkmasından bu yana yaklaşık 400 kurban iddia etti ve finansal olarak motive edilen saldırılar 2023 ve 2024 arasında% 42’lik bir artışa tanık oldu.
Hacker News ile paylaştığı Symantec Tehdit Hunter ekibinin verilerine göre, sadece 2025’in ilk iki ayında grup 40’tan fazla saldırı talep etti. Siber güvenlik şirketi, Spearwing adı altında kümeyi izliyor.
“Fidye yazılımı operatörlerinin çoğunluğu gibi, Spearwing ve bağlı kuruluşları, kurbanların fidye ödeme baskısını artırmak için ağları şifrelemeden önce kurbanların verilerini çifte gasp saldırıları gerçekleştirerek” dikkat çeken.
“Mağdurlar ödemeyi reddederse, grup çalınan verileri veri sızıntıları sitesinde yayınlamakla tehdit ediyor.”
Ransomhub (diğer adıyla Greenbottle ve Cyclops), Play (Balonfly) ve Qilin (AKA gündemi, Stinkbug ve Water Galura) gibi diğer fidye yazılımı (RAAS) oyuncuları faydalı Lockbit ve Blackcat’ın aksamalarından, Medusa enfeksiyonlarındaki artış, tehdit oyuncusunun iki üretken gaspçının bıraktığı boşluğu doldurmak için de acele etme olasılığını artırıyor.
Geliştirme, fidye yazılımı manzarası, yeni RAAS operasyonlarının istikrarlı bir akışı ile akışta olmaya devam ederken, Anubis– Cipherlocker– Çekirdek– Kandırmak– Lcryx– Loches– VGODVe Xelerason aylarda vahşi doğada ortaya çıkıyor.
Medusa, sağlık hizmeti sağlayıcılarını ve kar amacı gütmeyen kuruluşların yanı sıra finans ve devlet kuruluşlarından 100.000 ila 15 milyon dolar arasında herhangi bir yerde talep eden fidye kaydına sahiptir.
Fidye yazılımı sendikası tarafından monte edilen saldırı zincirleri, başlangıç erişimi elde etmek için, genel olarak Microsoft Exchange Server olmak üzere kamuya açık uygulamalarda bilinen güvenlik kusurlarının kullanılmasını içerir. Ayrıca, tehdit aktörlerinin ilgi çekici ağları ihlal etmek için başlangıç erişim brokerlerini kullandıklarından da şüpheleniliyor.
Başarılı bir dayanak kazandıktan sonra, bilgisayar korsanları, SimpleHelp, Anydesk veya kalıcı erişim için örtülü uzaktan yönetim ve izleme (RMM) yazılımlarını kullanır ve denenmiş ve test edilmiş, Kilav kullanarak antivirüs işlemlerini sonlandırmak için kendi savunmasız sürücü (BYOVD) tekniğinizi getirir. Killav’ın daha önce Blackcat fidye yazılımı saldırılarında kullanıma sunulduğuna dikkat çekmeye değer.
Symantec, “Meşru RMM Software PDQ dağıtımının kullanımı, Medusa fidye yazılımı saldırılarının bir başka ayırt edici özelliğidir.” Dedi. “Genellikle saldırganlar tarafından diğer araçları ve dosyaları bırakmak ve kurban ağına yanal olarak hareket etmek için kullanılır.”
Medusa fidye yazılımı saldırısı boyunca dağıtılan diğer araçlardan bazıları, veri açığa çıkması için veritabanı sorgularına, robokopi ve rclone’a erişmek ve çalıştırmak için navicat içerir.
Symantec, “Hedeflenen fidye yazılımı grubu gibi, Spearwing de çeşitli sektörlerde büyük organizasyonlara saldırma eğilimindedir.” Dedi. “Fidye yazılımı grupları, herhangi bir ideolojik veya ahlaki hususla değil, sadece kârla yönlendirilme eğilimindedir.”
