#랜섬웨어중지: 메두사 랜섬웨어

FBI, CISA, 그리고 MS-ISAC은 Medusa 랜섬웨어의 전술, 기법, 절차(TTP) 및 침해 지표(IOC)를 공개하는 공동 권고문을 발표했습니다. Medusa는 2021년 6월 처음 발견된 랜섬웨어 서비스(RaaS) 변종이며, 2025년 2월 기준으로 다양한 중요 인프라 부문의 300개 이상의 피해자에게 영향을 미쳤습니다. Medusa 공격자는 이중 갈취 모델을 사용하여 피해자의 데이터를 암호화하고 몸값을 지불하지 않으면 탈취한 데이터를 공개하겠다고 위협합니다. 공격자들은 일반적으로 피싱 캠페인과 패치되지 않은 소프트웨어 취약점 악용을 통해 잠재적 피해자에 대한 초기 접근 권한을 얻기 위해 초기 접근 브로커(IAB)를 활용합니다. 일단 발판을 마련하면 Medusa 공격자는 초기 사용자, 시스템 및 네트워크 열거에 시스템 자체의 기능(LOTL)과 합법적인 도구를 사용합니다. 또한 네트워크 및 파일 시스템 열거와 Ingress Tool Transfer 기능 활용을 위해 PowerShell과 Windows 명령 프롬프트를 사용합니다. Medusa 공격자는 certutil 및 PowerShell 탐지 회피 기법을 포함한 다양한 회피 기법을 사용하여 탐지를 피하려고 시도합니다. 또한 합법적인 원격 접속 소프트웨어를 사용하여 네트워크를 가로질러 이동하고 탈취 및 암호화할 파일을 식별하는 것으로 관찰되었습니다. 마지막으로 Medusa 공격자는 Rclone을 사용하여 C2 서버로 데이터 탈취를 용이하게 하고 이중 갈취 모델을 사용하여 피해자에게 돈을 요구합니다.