A Medusa ransomware kihasználja a Fortinet hibáját a kifinomult támadásokhoz
A Medusa egy kiemelkedő ransomware csoport, amely 2023-ban jelent meg. A legtöbb ransomware üzemeltetővel ellentétben a Medusa a hagyományos dark webes tevékenységük mellett a surface weben is jelen van. 2024-ben a Medusa folytatja kampányát, és gyors ütemben indít kibertámadásokat, néhány naponta hozzáadott posztokkal a közzétett szivárogtatásokról és váltságdíj követelésekről. A csoport gyakran posztol információkat az áldozatok nevéről blogján, X-en és Telegram-on. Míg a Medusa online jelenlétük kezelésének megközelítése a képességeikkel kombinálva széles körű figyelmet kapott, működési gyakorlatuk nagyobb vizsgálatra ad lehetőséget.
Fontos szem előtt tartani, hogy a Medusa zsarolóvírus különbözik a MedusaLocker néven ismert ransomware-től. A két csoportnak egyedi taktikái, technikái és eljárásai vannak. A Medusa (ransomware) szintén különbözik a Medusa Android malware-től. A Medusa egy olyan ransomware-as-a-service (RaaS) műveletet irányít, amely profitmegosztási modellt alkalmaz, ahol a partnerek a váltságdíjfizetések jelentős részét megkapják, míg az üzemeltető megtartja a kisebb részt. A Medusa olyan szektorok megtámadásáról ismert, mint az egészségügy, a gyártás és az oktatás. A kormányzati és pénzügyi szektorokat is célba vették. Ez egy opportunista fenyegető csoport, amely nem korlátozódik egy adott földrajzi régió vagy érdekeltségi terület áldozatainak megtámadására. Különböző országokban található szervezetek ellen indítottak támadásokat, többek között az Egyesült Államok, Izrael, Anglia, Ausztrália, az Egyesült Arab Emírségek, India, Irán, Portugália és számos más ország ellen. A Medusa 2023-ban összesen 145 áldozatot vett célba. Azóta a támadások folytatódnak. A Bitdefender becslése szerint a Medusa a 2024-es naptári év végére több mint kétszáz áldozatot követel majd.
A Medusa egy ismert gyenge ponton, például a Fortinet EMS SQL injekciós sérülékenységén keresztül jut be a célrendszerekbe. A CVE-2023-48788 olyan környezeteket érint, amelyekben a FortiClient EMS 7.2-7.2.2.2 és 7.0.1-7.0.10 verziója van telepítve a végpontok kezelésére.
A sebezhetőség lehetővé teszi a támadó számára, hogy SQL statement-eket tartalmazó rosszindulatú webes kéréseket küldjön. A rosszindulatú SQL-bemenet célja, hogy megváltoztassa a kérések fejlécében található FCTUID paramétert, amelyet a Fortinet FCTDas szolgáltatásának továbbít. Az FCTDas egy olyan program, amely értelmezi a bejövő kéréseket, amelyeket az SQL-kiszolgáló adatbázisához irányítanak. Miután az FCTUID paraméter az SQL injekciós folyamat áldozatává válik, lehetővé téve a támadó számára az alkalmazás lekérdezéseinek manipulálását, a támadó SQL bemenetet ad át az xp_cmdshell parancs kiadásához. xp_cmdshell a Microsoft SQL Server natív összetevője. A parancs meghívásakor a támadó távoli kódfuttatást hajt végre, és olyan parancsokat ad ki, amelyek hatással vannak az érintett kiszolgálóra és a csatlakoztatott erőforrásokra és hosztokra. A Medusa egy webshellt hoz létre a kompromittált kiszolgálón a hasznos terhek és a host adatainak cseréjéhez. Ehhez egy olyan szolgáltatást használ, mint a bitsadmin. A webshell úgy van konfigurálva, hogy titkosítsa és/vagy elrejtse a forgalmat.
