Medusa Ransomware
A Unit 42 Threat Intelligence elemzői a Medusa zsarolóvírus tevékenységének fokozódását és a taktikának a zsarolás irányába történő elmozdulását észlelték, amelyet a Medusa Blog nevű, kifejezetten a kiszivárogtatásra szánt oldaluk 2023 elején történt bevezetése jellemez. A Medusa fenyegetőszereplők ezt az oldalt arra használják, hogy érzékeny adatokat hozzanak nyilvánosságra azoktól az áldozatoktól, akik nem hajlandóak eleget tenni a váltságdíjköveteléseiknek.
A többszörös zsarolási stratégiájuk részeként ez a csoport többféle lehetőséget kínál az áldozatoknak, amikor az adataik felkerülnek a kiszivárogtató oldalukra, például az idő meghosszabbítását, az adatok törlését vagy az összes adat letöltését. Mindezeknek a lehetőségeknek ára van, attól függően, hogy melyik szervezetet érinti ez a csoport.
A zsaroláshoz hagymás oldalt használó stratégiájuk mellett a Medusa fenyegetőszereplői egy “információs támogatás” nevű nyilvános Telegram-csatornát is kihasználnak, ahol a megtámadott szervezetek fájljait nyilvánosan megosztották, és amelyek könnyebben hozzáférhetők, mint a hagyományos hagymás oldalak.
A Unit 42 Incident Response csapata is reagált egy Medusa zsarolóvírus incidensre, ami lehetővé tette számunkra, hogy felfedezzük a Medusa fenyegető szereplők által használt érdekes taktikákat, eszközöket és eljárásokat.