Рансъмуер група се похвали с над 40 корпоративни жертви от началото на годината
Хакерската група, разпространяваща рансъмуер опасността Medusa твърди, че е атакувала над 40 компании от началото на годината. По данни на Symantec, броят на жертвите им за януари и февруари тази година е двойно по-голям от този за същия интервал на 2024.
Medusa е рансъмуер опасност, която е дейна от началото на 2023 година. От началото на съществуването си, те са сложили на Tor уеб страницата си имената на съвсем 400 жертви. Вероятно обаче броят на жертвите им е надалеч по-голям, тъй като имената на фирмите, които са платили откуп, не се показват. Medusa се явяват рансъмуер организация, настояща по бизнес модела на „ рансъмуер като услуга “ (ransomware-as-a-servive, RaaS). При него основателите на програмата отдават код и мрежова инфраструктура за провеждането на офанзиви на други нарушители против дял от откупа. В този смисъл, тези, които популяризират опасността не могат да бъдат лимитирани до съответна група от лица (макар че постоянно се прави). „ Звездата “ на Medusa изгря бързо след ударите на силите на властта по други RaaS групи, като LockBit и BlackCat. Symantec употребяват своя спогодба за именуването на Medusa – Spearwing.
Освен, че работят по RaaS модела, Spearwing употребяват и двойно изнудване. Преди да криптират данните в мрежата на жертвата си, те крадат сензитивна информация от нея. Впоследствие желаят откуп, както за декриптиране на данните, по този начин и да не ги разгласяват намерено. Методът на деяние на Spearwing е главно посредством експлоатиране на приложения с връзка към Интернет. Най-често Microsoft Exchange. След първичния достъп до системите, те употребяват законни принадлежности за последователно напредване в мрежата, скриване на наличието си и добиване на данните. Интересен и чест метод се явява инсталирането на остарели драйвери. Става дума за стар код, за който има подготвени експлойти. Сред другите законни приложения, употребявани за щурм са SimpleHelp, AnyDesk, Navicat, RoboCopy и други
