С января 2023 года Medusa ransomware систематически поражает организации – по данным Symantec Threat Hunter Team, переданным The Hacker News, зафиксировано почти 400 жертв, включая более 40 атак в первые два месяца 2025 года. За этот период количество финансово мотивированных атак выросло на 42% с 2023 по 2024 год.
Группа, мониторящаяся под именем «Spearwing», действует исключительно в целях получения прибыли, применяя схему двойного вымогательства. Как отмечается: «Как и большинство операторов ransomware, Spearwing и его филиалы осуществляют атаки по схеме двойного вымогательства, сначала похищая данные жертв, а затем шифруя сети...», а при отказе от выплаты звучит угроза: «Если жертвы отказываются платить, группа угрожает опубликовать похищенные данные на своем сайте утечек.»
Атаки осуществляются через эксплуатацию известных уязвимостей в публично доступных приложениях, особенно на серверах Microsoft Exchange. В ряде случаев в операции привлекаются брокеры начального доступа, что позволяет эффективно нарушать защиту целевых систем.
После получения доступа злоумышленники внедряют программное обеспечение для удаленного управления, включая SimpleHelp, AnyDesk и MeshAgent, что обеспечивает прочное присутствие в инфильтрованных сетях. Применяемая техника BYOVD с использованием KillAV служит для отключения антивирусных процессов, а легитимный инструмент PDQ Deploy помогает распространять дополнительные программы и перемещаться по сетям. Для доступа к базам данных и вывоза информации используются Navicat, RoboCopy и Rclone.
Требования к выкупу варьируются от 100 000 до 15 000 000 долларов, а атаки нацелены на организации различных секторов – от медицинских учреждений и некоммерческих организаций до финансовых институтов и государственных структур. Мотивировка преступников носит чисто коммерческий характер без идеологических или моральных обоснований.
В условиях усиливающейся конкуренции в сфере ransomware появляются и другие операторы, такие как RansomHub (также известный как Greenbottle и Cyclops), Play (Balloonfly) и Qilin (именуемый также Agenda, Stinkbug и Water Galura), а за последние месяцы появились Anubis, CipherLocker, Core, Dange, LCRYX, Loches, Vgod и Xelera. Эти появления отражают попытки злоумышленников заполнить вакуум, оставленный после сбоев в работе таких групп, как LockBit и BlackCat.
Особенность атак Medusa заключается в использовании легитимного RMM-программного обеспечения – «Использование легитимного RMM ПО PDQ Deploy является отличительной чертой атак Medusa ransomware...», что обеспечивает возможность быстрого распространения вторжений. Как и большинство целевых групп ransomware, Spearwing склонен атаковать крупные организации из разных секторов, что подчеркивает непрерывное развитие и эволюцию методов киберпреступности.
Изображение носит иллюстративный характер
Группа, мониторящаяся под именем «Spearwing», действует исключительно в целях получения прибыли, применяя схему двойного вымогательства. Как отмечается: «Как и большинство операторов ransomware, Spearwing и его филиалы осуществляют атаки по схеме двойного вымогательства, сначала похищая данные жертв, а затем шифруя сети...», а при отказе от выплаты звучит угроза: «Если жертвы отказываются платить, группа угрожает опубликовать похищенные данные на своем сайте утечек.»
Атаки осуществляются через эксплуатацию известных уязвимостей в публично доступных приложениях, особенно на серверах Microsoft Exchange. В ряде случаев в операции привлекаются брокеры начального доступа, что позволяет эффективно нарушать защиту целевых систем.
После получения доступа злоумышленники внедряют программное обеспечение для удаленного управления, включая SimpleHelp, AnyDesk и MeshAgent, что обеспечивает прочное присутствие в инфильтрованных сетях. Применяемая техника BYOVD с использованием KillAV служит для отключения антивирусных процессов, а легитимный инструмент PDQ Deploy помогает распространять дополнительные программы и перемещаться по сетям. Для доступа к базам данных и вывоза информации используются Navicat, RoboCopy и Rclone.
Требования к выкупу варьируются от 100 000 до 15 000 000 долларов, а атаки нацелены на организации различных секторов – от медицинских учреждений и некоммерческих организаций до финансовых институтов и государственных структур. Мотивировка преступников носит чисто коммерческий характер без идеологических или моральных обоснований.
В условиях усиливающейся конкуренции в сфере ransomware появляются и другие операторы, такие как RansomHub (также известный как Greenbottle и Cyclops), Play (Balloonfly) и Qilin (именуемый также Agenda, Stinkbug и Water Galura), а за последние месяцы появились Anubis, CipherLocker, Core, Dange, LCRYX, Loches, Vgod и Xelera. Эти появления отражают попытки злоумышленников заполнить вакуум, оставленный после сбоев в работе таких групп, как LockBit и BlackCat.
Особенность атак Medusa заключается в использовании легитимного RMM-программного обеспечения – «Использование легитимного RMM ПО PDQ Deploy является отличительной чертой атак Medusa ransomware...», что обеспечивает возможность быстрого распространения вторжений. Как и большинство целевых групп ransomware, Spearwing склонен атаковать крупные организации из разных секторов, что подчеркивает непрерывное развитие и эволюцию методов киберпреступности.
