Il ransomware Medusa è una minaccia informatica sofisticata che sta colpendo sempre più organizzazioni in tutto il mondo. Nell’ambito dell’iniziativa #StopRansomware, FBI, CISA, e MS-ISAC ha rilasciato un bollettino (AA25-071A) che dettaglia le tattiche, tecniche e procedure (TTP) e gli indicatori di compromissione (IOC) associati al ransomware Medusa.
Ransomware Medusa
Secondo l’indagine l’FBI, Medusa è un ransomware-as-a-service (RaaS) scoperto nel giugno 2021. Entro febbraio 2025, ha colpito oltre 300 vittime in settori critici come sanità, istruzione, diritto, assicurazioni e tecnologia e non sarebbe collegato alle varianti MedusaLocker o al malware mobile Medusa.
Il gruppo dietro il ransomware Medusa recluterebbe broker di accesso iniziale (IAB) tramite forum cybercriminali, consentendo agli affiliati di ottenere l’accesso alle vittime attraverso campagne di phishing e lo sfruttamento di vulnerabilità non corrette.
Medusa RaaS impiega un modello di doppia estorsione, in cui le vittime devono pagare per decifrare i file e impedire una fuga di dati e gestisce un sito dataleak.
Tattiche, Tecniche e Procedure (TTP)
Il ransomware Medusa utilizza una varietà di TTP per infiltrarsi e compromettere i suoi obiettivi:
1. Accesso Iniziale: Gli attaccanti spesso ottengono l’accesso iniziale alle reti tramite e-mail di phishing, sfruttando vulnerabilità nel software (CVE-2024-1709 – bypass di autenticazione ScreenConnect e CVE-2023-48788 – iniezione SQL Fortinet EMS) o utilizzando credenziali rubate (Mimikatz) per infiltrarsi nei sistemi. Per la ricognizione gli autori di Medusa utilizzano strumenti legittimi come Advanced IP Scanner e SoftPerfect Network Scanner.
2. Esecuzione: Una volta all’interno della rete, il ransomware Medusa esegue codice dannoso per avviare il processo di crittografia (AES-256) eseguito tramite gaze.exe.
3. Persistenza: Il ransomware stabilisce la persistenza sul sistema colpito, assicurandosi di rimanere attivo anche dopo i riavvii.
4. Escalation dei privilegi: Il ransomware Medusa cerca di ottenere privilegi elevati per ottenere l’accesso amministrativo.
5. Evasione delle difese: Il ransomware utilizza varie tecniche per evitare il rilevamento da parte del software di sicurezza, inclusa l’offuscazione e la disabilitazione dei programmi antivirus. Per l’elusione gli autori di Medusa utilizzano anche tecniche LOTL (living off the land).
6. Movimento laterale: Il ransomware esegue ricognizioni per identificare file e sistemi critici all’interno della rete e si diffonde lateralmente attraverso la rete, criptando file su più sistemi. Vengono sfruttati strumenti di accesso remoto legittimi come AnyDesk, Atera e Splashtop, insieme a RDP e PsExec, per muoversi lateralmente.
9. Distruzione dei dati: In alcuni casi, gli attaccanti possono minacciare di distruggere i dati se il riscatto non viene pagato.
10. Comando e Controllo: Il ransomware Medusa comunica con server di comando e controllo per ricevere istruzioni e inviare dati esfiltrati.
11. Esfiltrazione: Gli attaccanti possono esfiltrare dati sensibili come parte di una tattica di doppia estorsione, minacciando di pubblicare i dati se il riscatto non viene pagato.
Strategie di mitigazione
Per proteggersi dal ransomware Medusa, le organizzazioni dovrebbero implementare le seguenti strategie di mitigazione:
1. Backup regolari: Mantenere backup regolari dei dati critici e assicurarsi che i backup siano memorizzati offline e non accessibili dalla rete.
2. Consapevolezza sul phishing: Educare i dipendenti sui pericoli delle email di phishing e formarli a riconoscere messaggi sospetti.
3. Gestione delle patch: Mantenere tutti i software, inclusi sistemi operativi e applicazioni, aggiornati con le ultime patch di sicurezza.
4. Protezione degli endpoint: Distribuire soluzioni avanzate di protezione degli endpoint che possono rilevare e bloccare gli attacchi ransomware.
5. Segmentazione della rete: Segmentare le reti per limitare la diffusione del ransomware e isolare i sistemi critici.
6. Controlli di accesso: Implementare controlli di accesso rigorosi e applicare il principio del privilegio minimo per ridurre al minimo il rischio di accesso non autorizzato.
7. Piano di risposta agli incidenti: Sviluppare e testare regolarmente un piano di risposta agli incidenti per garantire una risposta rapida ed efficace agli incidenti di ransomware.
Conclusione
Il ransomware Medusa rappresenta una minaccia significativa per le organizzazioni di tutte le dimensioni. Comprendendo i suoi TTP e implementando misure di sicurezza robuste, le organizzazioni possono mitigare il rischio di cadere vittime di questo malware distruttivo. Rimanere informati e vigili è la chiave per mantenere una forte postura di cybersecurity e proteggersi dagli attacchi ransomware.
Il bollettino si conclude indicando anche un potenziale triplice schema di estorsione. Le indagini dell’FBI hanno infatti scoperto che una vittima, dopo aver pagato il riscatto, è stata contattata da un terzo attore di Medusa che affermando che il negoziatore aveva rubato l’importo del riscatto già pagato, chiedeva di nuovo la metà del pagamento per ricevere il vero decryptor.
