Gli esperti di Unit 42, il Threat Intelligence team di Palo Alto Networks, hanno osservato un’escalation nelle attività del ransomware Medusa e uno spostamento delle tattiche verso l’estorsione, caratterizzato dall’introduzione, a inizio 2023, di un proprio sito di leak dedicato (DLS), chiamato Medusa Blog. Gli attori delle minacce di Medusa lo utilizzano per divulgare i dati sensibili delle vittime non disposte a pagare le loro richieste di riscatto.
La strategia di estorsione
Medusa è emerso come piattaforma ransomware-as-a-service (RaaS) a fine 2022 e ha acquisito notorietà a inizio 2023, colpendo principalmente gli ambienti Windows. Non deve essere confuso con un RaaS dal nome simile, MedusaLocker, disponibile dal 2019: la nostra analisi si concentra esclusivamente sul ransomware Medusa, conosciuto pubblicamente dal 2023, che sta che sta colpendo gli ambienti Windows aziendali.
Come parte della strategia di estorsione multipla, questo gruppo offre alle vittime diverse opzioni una volta che i loro dati sono pubblicati sul DLS, come l’estensione di tempo, la cancellazione dei dati o il download di tutte le informazioni. Queste opzioni hanno un costo differente in base all’azienda colpita. Oltre alla strategia di utilizzare un onion site per l’estorsione, gli autori di Medusa sfruttano anche un canale Telegram pubblico denominato “information support”, in cui i file delle aziende compromesse sono condivisi pubblicamente, più accessibile dei tradizionali siti onion. Il team di Incident Response di Unit 42 ha risposto anche a un incidente del ransomware Medusa, che ha permesso di scoprire tattiche, strumenti e procedure interessanti utilizzate dagli attori responsabili didi questa minaccia.
Il gruppo Medusa propaga prevalentemente il suo ransomware attraverso lo sfruttamento di servizi vulnerabili (ad esempio, risorse rivolte al pubblico o applicazioni che presentano vulnerabilità note non risolte) e il dirottamento di account legittimi, spesso utilizzando broker di accesso iniziale per l’infiltrazione. Unit 42 ha anche osservato che il ransomware Medusa implementa tecniche di “living-off-the-land”, utilizzando software legittimi per scopi dannosi, che spesso si confondono con traffico e comportamento regolari, rendendo più difficile individuarne le attività.
