#ОстановитьВымогательство: Вирус-Вымогатель Медуза

ФБР, CISA и MS-ISAC опубликовали совместное предупреждение для распространения информации о известных тактиках, методах и процедурах (TTP) и индикаторах компрометации (IOC) вымогателя Medusa. Medusa – это разновидность вымогателя как услуги (RaaS), впервые выявленного в июне 2021 года, и по состоянию на февраль 2025 года он затронул более 300 жертв из различных секторов критической инфраструктуры. Злоумышленники Medusa используют модель двойного вымогательства, при которой они шифруют данные жертв и угрожают публиковать украденные данные, если выкуп не будет выплачен. Злоумышленники обычно нанимают брокеров первоначального доступа (IAB) для получения первоначального доступа к потенциальным жертвам, часто посредством фишинговых кампаний и эксплуатации уязвимостей необновленного программного обеспечения. После закрепления, злоумышленники Medusa используют методы "жизни за счет земли" (LOTL) и легальные инструменты для первоначального перечисления пользователей, систем и сети. Они также используют PowerShell и командную строку Windows для перечисления сети и файловой системы, а также для использования возможностей передачи инструментов входа. Злоумышленники Medusa пытаются избежать обнаружения, используя различные методы уклонения, включая certutil и методы уклонения от обнаружения PowerShell. Также было замечено, что злоумышленники используют легальное программное обеспечение для удаленного доступа для перемещения по сети и идентификации файлов для эксфильтрации и шифрования. Наконец, злоумышленники Medusa используют Rclone для облегчения эксфильтрации данных на свои C2-серверы и используют модель двойного вымогательства, чтобы требовать выкуп с жертв.