La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha rivelato che l'operazione ransomware Medusa ha avuto un impatto su più di 300 organizzazioni nei settori delle infrastrutture critiche negli Stati Uniti a partire dal mese scorso.
Avviso congiunto emesso da CISA, FBI e MS-ISAC
Queste informazioni sono state divulgate in questo avviso congiunto emesso da CISA, dall'FBI (Federal Bureau of Investigation) e dal Multi-State Information Sharing and Analysis Center (MS-ISAC).
"A febbraio 2025, gli sviluppatori e gli affiliati di Medusa hanno avuto un impatto su oltre 300 vittime provenienti da diversi settori infrastrutturali critici", si legge nell'avviso.
I settori interessati includono:
Medico
Istruzione
Legal
Assicurazione
Tecnologia
Produzione
Appello alle organizzazioni per rafforzare le difese
CISA, FBI e MS-ISAC stanno sollecitando le organizzazioni a implementare le mitigazioni consigliate per ridurre la probabilità e l'impatto degli incidenti di Medusa ransomware. Questo avviso fornisce ai difensori di rete indicatori di compromissione (IOC), tattiche, tecniche e procedure (TTP) e metodi di rilevamento associati all'attività di Medusa ransomware identificata tramite le indagini dell'FBI.
Le azioni che la tua organizzazione può intraprendere includono la garanzia che i sistemi operativi, il software e il firmware siano patchati e aggiornati; segmentare le reti per limitare il movimento laterale dai dispositivi infetti iniziali e da altri dispositivi; filtrare il traffico di rete impedendo a origini sconosciute o non attendibili di accedere ai servizi remoti sui sistemi interni. Le organizzazioni sono incoraggiate a rivedere l'avviso e a implementare le mitigazioni consigliate per proteggersi dall'attore della minaccia ransomware.
Medusa Ransomware: una minaccia in crescita dal 2021
Il gruppo è emerso per la prima volta a giugno 2021 e continua a scatenare il caos attraverso attacchi relativamente semplici, basati principalmente su phishing e vulnerabilità non corrette. La sua attività è aumentata nel 2023 quando ha lanciato il sito di fuga di notizie Medusa Blog. Questo sito viene utilizzato per fare pressione sulle vittime affinché paghino i riscatti esponendo i dati rubati.
Fin dalla sua comparsa, Medusa ha causato oltre 400 vittime in tutto il mondo. La gang ha ottenuto una notevole attenzione mediatica nel marzo 2023 dopo aver attaccato il distretto scolastico pubblico di Minneapolis (MPS) e aver diffuso un video contenente dati rubati.
Uno degli attacchi di alto profilo di Medusa include un attacco a Toyota Financial Services, una sussidiaria di Toyota Motor Corporation, nel novembre 2023. Dopo che la società si è rifiutata di pagare un riscatto di 8 milioni di dollari, il gruppo ha fatto trapelare file rubati sul suo portale di estorsione del dark web.
Evoluzione in un'operazione Ransomware-as-a-Service (RaaS)
Inizialmente, Medusa funzionava come un gruppo ransomware chiuso, in cui un singolo set di attori controllava sia lo sviluppo che le operazioni. Tuttavia, da allora si è evoluto in un modello Ransomware-as-a-Service (RaaS), consentendo agli affiliati di eseguire attacchi mentre gli sviluppatori principali gestiscono operazioni chiave come le negoziazioni del riscatto.
Gli affiliati del gruppo sono stati osservati mentre sfruttavano CVE-2024-1709, una vulnerabilità ampiamente discussa nel famoso strumento di accesso remoto ScreenConnect, nonché CVE-2023-48788, che colpisce i prodotti di sicurezza Fortinet.
Medusa, che l'FBI ha chiarito essere distinto sia dal ransomware MedusaLocker che dalla variante malware mobile Medusa, inizialmente operava come un gruppo chiuso di sviluppatori e hacker prima di passare a un modello di affiliazione. Mentre le negoziazioni del riscatto rimangono sotto il controllo degli sviluppatori del gruppo, questi ultimi in genere reclutano broker di accesso iniziale (IAB) tramite forum e marketplace di criminali informatici per ottenere l'accesso ai sistemi delle vittime.
Secondo le autorità, agli affiliati di Medusa vengono offerti pagamenti che vanno da 100 a 1 milione di dollari, con la possibilità di lavorare esclusivamente per il gruppo.
Le vittime sono invitate a contattare la gang entro 48 ore tramite la richiesta di riscatto. Se non rispondono, gli hacker intensificano il loro approccio contattandoli via telefono o e-mail. Il gruppo gestisce anche un sito di fuga di notizie in cui i dati rubati vengono pubblicizzati e venduti al miglior offerente.
Un'indagine dell'FBI ha scoperto una tattica inquietante in cui una vittima che aveva già pagato il riscatto è stata in seguito contattata da un diverso attore di Medusa. Il secondo aggressore ha affermato che il negoziatore originale aveva rubato il riscatto e ha chiesto un pagamento aggiuntivo, metà della somma originale, per fornire il "vero decryptor". Ciò suggerisce che Medusa potrebbe essere coinvolta in un triplice schema di estorsione.
Misure di mitigazione consigliate
Per proteggersi dal ransomware Medusa, si consiglia alle organizzazioni di:
Correggere tempestivamente le vulnerabilità note nei sistemi operativi, nel software e nel firmware.
Segmentare le reti per impedire spostamenti laterali tra sistemi infetti e non infetti.
Filtrare il traffico di rete bloccando l'accesso ai sistemi interni da fonti sconosciute o non attendibili.
Confusione con altre minacce informatiche chiamate Medusa
È importante notare che numerose operazioni di criminalità informatica utilizzano il nome Medusa, tra cui:
Una botnet basata su Mirai con capacità ransomware.
Un'operazione malware-as-a-service (MaaS) per Android, nota anche come TangleBot.
Ciò ha portato a confusione tra il ransomware Medusa e il ransomware MedusaLocker, che sono operazioni completamente diverse.
Altri avvisi recenti di ransomware
Oltre all'avviso sul ransomware Medusa, il mese scorso la CISA e l'FBI hanno anche emesso un altro avviso congiunto, avvertendo che le vittime di oltre 70 paesi, compresi quelli nei settori delle infrastrutture critiche, sono state colpite dagli attacchi del ransomware Ghost.
Leggi il rapporto completo qui
Nessun commento:
Posta un commento