#StopRansomware: Medusa-Ransomware

Das FBI, CISA und MS-ISAC haben ein gemeinsames Beratungsdokument veröffentlicht, um bekannte Taktiken, Techniken und Verfahren (TTPs) sowie Indikatoren für Kompromittierungen (IOCs) der Medusa-Ransomware zu verbreiten. Medusa ist eine Ransomware-as-a-Service-(RaaS)-Variante, die erstmals im Juni 2021 identifiziert wurde, und bis Februar 2025 mehr als 300 Opfer aus verschiedenen kritischen Infrastruktursektoren betroffen hat. Die Medusa-Akteure setzen ein Doppel-Erpressungsmodell ein, bei dem sie die Opferdaten verschlüsseln und drohen, die exfiltrierten Daten öffentlich zu veröffentlichen, wenn keine Lösegeldzahlung erfolgt. Die Akteure rekrutieren typischerweise Initial-Access-Broker (IABs), um initialen Zugriff auf potenzielle Opfer zu erlangen, oft durch Phishing-Kampagnen und Ausnutzung unpatchter Software-Schwachstellen. Sobald ein Fuß auf dem Boden ist, verwenden die Medusa-Akteure Living-off-the-Land-(LOTL)- und legitime Tools für die initiale Benutzer-, System- und Netzwerkaufklärung. Sie verwenden auch PowerShell und den Windows-BefehlsPrompt für die Netzwerkaufklärung und Dateisystemaufklärung sowie für die Nutzung von Ingress-Tool-Übertragungsfähigkeiten. Die Medusa-Akteure versuchen, durch verschiedene Vermeidungstechniken, einschließlich certutil- und PowerShell-Erkennungsvermeidungstechniken, nicht erkannt zu werden. Die Akteure haben auch beobachtet, dass sie legitime Remote-Zugangssoftware verwenden, um sich lateral durch das Netzwerk zu bewegen und Dateien für die Exfiltration und Verschlüsselung zu identifizieren. Schließlich verwenden die Medusa-Akteure Rclone, um die Daten auf ihre C2-Server zu übertragen, und setzen ein Doppel-Erpressungsmodell ein, um von den Opfern Zahlungen zu fordern.