#StopRansomware: メデューサランサムウェア

FBI、CISA、MS-ISACは、Medusaランサムウェアの戦術、技術、手順（TTPs）および侵害の兆候（IOCs）を周知するために共同アドバイザリを発表しました。Medusaは、2021年6月に初めて確認されたランサムウェア・アズ・ア・サービス（RaaS）の一種であり、2025年2月の時点で、300人以上の被害者が発生し、さまざまな重要インフラストラクチャ部門に影響を及ぼしています。Medusaの攻撃者は、データを暗号化し、身代金が支払われなければ、盗まれたデータを公開すると脅迫する、二重の搾取モデルを使用しています。攻撃者は通常、初期アクセスブローカー（IAB）を雇用して、フィッシングキャンペーンやパッチされていないソフトウェアの脆弱性の悪用を通じて、潜在的な被害者への初期アクセスを取得します。足がかりが確立されると、Medusaの攻撃者は、生存（LOTL）と正当なツールを使用して、初期ユーザー、システム、ネットワークの列挙を行います。PowerShellとWindowsコマンドプロンプトを使用して、ネットワークとファイルシステムの列挙を行い、Ingress Tool Transferの機能を利用します。Medusaの攻撃者は、certutilやPowerShellの検出回避技術などのさまざまな回避技術を使用して検出を避けます。攻撃者は、正当なリモートアクセスソフトウェアを使用して、ネットワーク内を移動し、データの盗難と暗号化のためにファイルを特定することも観察されています。最後に、Medusaの攻撃者は、Rcloneを使用してデータの盗難をC2サーバーに促進し、二重の搾取モデルを使用して被害者から支払いを要求します。