Ransomware Medusa: Aumento delle Attività e Tattiche di Multi-Estorsione

Scopri come il ransomware Medusa ha intensificato le sue attività, introducendo una strategia di multi-estorsione attraverso un sito dark web dedicato. Le tattiche audaci e le minacce crescenti fanno emergere nuovi sviluppi nel panorama del ransomware.

               

Ransomware Medusa: Aumento delle Attività e Tattiche di Multi-Estorsione

Gli attori minacciosi associati al ransomware Medusa hanno recentemente intensificato le loro attività, adottando tattiche più audaci e un'approccio di multi-estorsione. Questo aumento di aggressività segue il lancio, nel febbraio 2023, di un sito dedicato sul dark web, atto a pubblicare i dati sensibili delle vittime che si rifiutano di acconsentire alle richieste del gruppo.

Come parte della loro strategia di multi-estorsione, i criminali dietro il ransomware Medusa offrono alle vittime diverse opzioni quando i loro dati vengono pubblicati sul sito delle fughe. Queste opzioni includono la possibilità di prolungare il tempo, cancellare i dati o scaricare l'intero set di informazioni trafugate. Tuttavia, tutte queste opzioni hanno un prezzo, variabile in base all'organizzazione colpita.

Il ransomware Medusa, emerso alla fine del 2022 e diventato prominente nel corso del 2023, è noto per il suo targeting opportunista in una vasta gamma di settori, tra cui alta tecnologia, istruzione, produzione, assistenza sanitaria e commercio al dettaglio. Nel corso del 2023, si stima che il ransomware abbia colpito fino a 74 organizzazioni, con una particolare concentrazione negli Stati Uniti, nel Regno Unito, in Francia, Italia, Spagna e India.

Gli attacchi orchestrati da questo gruppo iniziano con lo sfruttamento di vulnerabilità note su asset o applicazioni esposte su Internet e l'usurpazione di account legittimi. Spesso, vengono impiegati broker di accesso iniziale per ottenere un punto di ingresso nelle reti target. In un esempio osservato, è stato sfruttato un server Microsoft Exchange per caricare una web shell, utilizzata come ponte per installare e eseguire il software di monitoraggio e gestione remota ConnectWise.

Una caratteristica notevole di questi attacchi è l'uso di tecniche "living-off-the-land" (LotL) per mescolarsi con attività legittime e sfuggire alla rilevazione. Inoltre, è stato osservato l'utilizzo di driver del kernel per terminare un elenco predeterminato di prodotti di sicurezza.

La fase iniziale di accesso è seguita dalla scoperta e dalla ricognizione della rete compromessa. Gli attori procedono quindi con l'esecuzione del ransomware per enumerare e cifrare tutti i file, ad eccezione di quelli con estensioni come .dll, .exe, .lnk e .medusa (l'estensione data ai file cifrati).

Il sito delle fughe di Medusa mostra informazioni dettagliate su ogni vittima, tra cui l'organizzazione coinvolta, il riscatto richiesto, il tempo rimasto prima della pubblicazione dei dati rubati e il numero di visualizzazioni. Questo approccio mira a esercitare pressione sulle aziende coinvolte.

Gli attori offrono alle vittime diverse opzioni di estorsione, coinvolgendo forme di pagamento per eliminare o scaricare i dati trafugati e richiedere una proroga per evitare la pubblicazione delle informazioni.

Il ransomware Medusa, oltre ad avere un team dedicato per le attività mediatiche, utilizza anche un canale Telegram pubblico chiamato "supporto informazioni". In questo canale vengono condivisi file di organizzazioni compromesse, accessibili anche attraverso il clearnet, evidenziando una crescente professionalizzazione e commercializzazione delle operazioni di ransomware.

Questi sviluppi arrivano in un contesto in cui le vittime di altri gruppi di ransomware, come Akira e Royal, sono state bersaglio di terze parti malintenzionate che si sono presentate come ricercatori di sicurezza. Questi attori hanno tentato estorsioni secondarie, offrendosi di eliminare i dati esfiltrati attraverso l'accesso alle infrastrutture dei gruppi ransomware originali coinvolti.

Il ransomware continua a rappresentare una minaccia diffusa, coinvolgendo settori che vanno dalle aziende tecnologiche all'assistenza sanitaria e alle infrastrutture critiche. Gli attori dietro queste operazioni sono sempre più audaci nelle loro tattiche, oltre a minacce pubbliche e canali dedicati alle relazioni pubbliche, evidenziando la crescente professionalizzazione di questo tipo di attività criminale.

Fonte della notizia

Vulnerabilità e Patch Sicurezza

• FBot: Il Nuovo Toolkit di Hacking Python Rivela Attacchi a Server Cloud e Piattaforme SaaS
• Hacker siriani distribuiscono Silver RAT C# stealthy ai criminali informatici
• Water Curupira Hackers Distribuiscono Attivamente il Malware PikaBot Loader: Analisi e Implicazioni
• Malware e Google MultiLogin: Accesso Persistente Nonostante il Reset della Password
• Nuova Variante di Bandook RAT: Risorge, Mirando i Sistemi Windows
• Vulnerabilità Critica in Ivanti Endpoint Manager: Patch Rilasciata
• Truffe Bitcoin: Attenti alle Frodi di Mining Online – Guida Anti-Phishing
• Nuovo caricatore malware Rugmi registra centinaia di rilevamenti giornalieri
• Apple iOS vulnerabile a spyware sofisticato che sfrutta una funzione hardware segreta
• Hacker cinesi sfruttano zero-day negli apparecchi ESG di Barracuda
• New Android Xamalicious Malware Affects 327,000 Devices: Data Theft and Financial Attacks
• Nuovo Malware Android Xamalicious Colpisce 327.000 Dispositivi: Dati Rubati e Attacchi Finanziari
• Carbanak: Malware Bancario Risorge con Nuove Tattiche di Ransomware
• Attacchi di Spear-Phishing di Cloud Atlas: Impatti sulle Imprese Russe
• Nuovo Backdoor ‘FalseFont’: Minaccia al Settore Difesa Avvertita da Microsoft
• Rischio Malware: Documenti Word Falsi usati per Diffondere Minaccia Nim
• Rischio: Plugin WordPress Fraudolento Espone Siti E-commerce al Furto di Carte di Credito
• Chameleon: Nuova Minaccia – Trojan Bancario Android Aggira l’Autenticazione Biometrica
• Spyware Predator: Analisi del Modello di Licensing Milionario e Impatto sulla Sicurezza Mobile
• Disattivazione BlackCat Ransomware: Lotta dell’FBI contro il Cybercrimine
• Rhadamanthys Malware: Swiss Army Knife dei Furti di Informazioni Emergenti
• Esperti svelano dettagli su Exploit Zero-Click RCE in Outlook
• Vulnerabilità nascoste delle App Web: Bug o Caratteristica?
• Storm-0539: Il Nuovo Pericolo delle Frodi con Buoni Regalo durante le Feste
• Botnet KV: Attacchi Silenziosi a Cisco, DrayTek e Fortinet con Routers e Firewall
• Scoperta minaccia NKAbuse: Malware DDoS su Tecnologia Blockchain NKN
• Minaccia BazaCall: Utilizzo di Google Forms nel Nuovo Attacco di Phishing
• Microsoft Avverte: Attacchi di Phishing e Mining di Criptovalute sfruttano OAuth
• Microsoft Patch Tuesday Dicembre 2023: Risolti 33 Difetti, 4 Critici
• Minacce Informatiche al Settore Sanitario: Strategie Vigili contro Ransomware e Vulnerabilità
• Rischi dell’Accesso Non Umano nel 2023: Attacchi Informatici e Sicurezza delle Identità
• Apache Struts 2 Vulnerabilità Critica di RCE – Patch di Sicurezza Necessaria
• Apple rilascia iOS 17.2 con la sua nuova app Journal
• AutoSpill: Nuovo attacco ruba credenziali da gestori password Android
• SLAM Attack: Nuova vulnerabilità basata su Spectre colpisce CPU Intel, AMD e Arm
• 5Ghoul: Nuove Vulnerabilità Colpiscono Dispositivi iOS e Android
• PoolParty: Tecniche Iniezione Processi sfuggono EDR Windows
• Operazione RusticWeb: Malware basato su Rust prende di mira le entità del governo indiano
• UAC-0099 Sfrutta Vulnerabilità WinRAR per Attaccare Aziende Ucraine con Malware LONEPAGE
• SpectralBlur: Nuovo Malware macOS, Minaccia Nordcoreana Backdoor

Fonte notizia
windows8.myblog.it 2024 01 12 ransomware-medusa-aumento-delle-attivita-e-tattiche-di-multi-estorsione

Ransomware Medusa Dark Web Multi-Estorsione Sicurezza Informatica Fughe di Dati Attacchi Ransomware Sophos Centro Nazionale Sicurezza Informatica Finlandia

Condividi:                

Vuoi fare una segnalazione relativa a questo articolo? (Clicca qui)