Il ransomware Medusa è diventato un nome temuto nel mondo della cybersecurity, con oltre 400 vittime rivendicate dal suo esordio nel gennaio 2023. Questo attacco informatico ha visto un incremento del 42% tra il 2023 e il 2024, e solo nei primi due mesi del 2025, il gruppo dietro Medusa ha già colpito più di 40 volte. I dati del Symantec Threat Hunter Team, che monitora questa minaccia sotto il nome di Spearwing, mostrano un quadro allarmante per le organizzazioni di tutto il mondo.

Attacchi di doppia estorsione

Come molti operatori di ransomware, Spearwing utilizza attacchi di doppia estorsione. Questo metodo prevede il furto di dati sensibili prima di crittografare le reti, aumentando così la pressione sulle vittime affinché paghino il riscatto. Se le vittime si rifiutano, il gruppo minaccia di pubblicare i dati rubati su un sito di leak.

Altri attori nel panorama del ransomware

Nell'attuale panorama del ransomware, Medusa non è l'unico attore. Altri gruppi come RansomHub, Play e Qilin hanno approfittato delle interruzioni causate da LockBit e BlackCat, ma la crescente incidenza di infezioni Medusa suggerisce che questo attore potrebbe riempire il vuoto lasciato dai due prolifici estorsionisti.

Caratteristiche distintive di Medusa

Medusa si distingue per le sue richieste di riscatto che variano da $100,000 a $15 milioni, prendendo di mira fornitori sanitari, organizzazioni non profit, enti finanziari e governativi. Le catene di attacco di Medusa spesso sfruttano vulnerabilità note in applicazioni accessibili pubblicamente, principalmente Microsoft Exchange Server, per ottenere l'accesso iniziale. È anche probabile che gli attori utilizzino broker di accesso iniziale per compromettere le reti di interesse.

Una volta ottenuto un punto d'appoggio, i criminali utilizzano software di gestione remota e monitoraggio come SimpleHelp, AnyDesk o MeshAgent per mantenere l'accesso persistente. Inoltre, sfruttano la tecnica del "Bring Your Own Vulnerable Driver" (BYOVD) per terminare i processi antivirus utilizzando KillAV, un metodo già visto in attacchi ransomware BlackCat.

Strumenti utilizzati negli attacchi

L'uso del software legittimo PDQ Deploy è un altro segno distintivo degli attacchi Medusa, solitamente impiegato per distribuire altri strumenti e file e per muoversi lateralmente attraverso la rete della vittima. Altri strumenti comuni includono Navicat per l'accesso e l'esecuzione di query sui database, RoboCopy e Rclone per l'esfiltrazione dei dati.

Conclusioni sul comportamento del gruppo Medusa

La tendenza di Medusa a colpire grandi organizzazioni di vari settori riflette la natura puramente profittevole del gruppo, senza considerazioni ideologiche o morali. Questo rende fondamentale per le aziende mantenere aggiornati i loro sistemi di sicurezza e vigilare sui potenziali rischi di attacco.