Onderzoekers van Palo Alto Networks zien professionalisering van ransomwaregroep Medusa

15 januari 2024

UNIT 42, de onderzoekstak van cybersecurityleider Palo Alto Network, ziet een sterke professionalisering van de ransomewaregroep Medusa. In 2023 maakten de cybercriminelen 74 slachtoffers, waarvan het merendeel in de VS en Europa. Het hackerscollectief lanceerde recent ook een nieuwe blog op het dark web, waar slachtoffers onder druk worden gezet om overstag te gaan en te betalen.

Op de website van de hackergroep valt op cynische manier de naam van het slachtoffer, de prijs, de resterende tijd en het aantal bezoekers te lezen. Deze afpersingstechniek is helaas niet ongewoon en wordt steeds vaker toegepast om de druk op de getroffen bedrijven op te voeren, aldus de onderzoekers.

Figuur 1: Medusa blog

Betalende diensten

De slachtoffers kunnen bovendien ook kiezen uit één van de extra betalende diensten. Tegen een fikse som kunnen ze de betalingstermijn bijvoorbeeld uitstellen of hun gegevens laten verwijderen van de website. Dat laatste kost gemiddeld 10.000 dollar. Medusa heeft ook een Telegramkanaal gelanceerd waar vertrouwelijke bestanden van de bedrijven publiekelijk worden gedeeld met de volgers.

Figuur 2: promotievideo voor Medusa

Living-off-the-land

Medusa zag wellicht het licht aan het einde van 2022. Als berucht ransomware-as-a-service collectief klom het snel in de rangen van de cybercriminele onderwereld, voornamelijk door slachtoffers te maken onder Windowsgebruikers.

De groep is befaamd om zijn “living-off-the-land” technieken. Bij LOTL-aanvallen gebruiken criminelen bestaande programma’s (zoals wachtwoordbeheerders) op de toestellen van de slachtoffers om aanvallen uit te voeren, in plaats van externe kwaadaardige software te laten installeren. Dit type aanval is dan ook veel moeilijker te detecteren. Cybercriminelen kunnen zo maanden ongemerkt op de toestellen van de slachtoffers vertoeven.

Download het rapport van UNIT 42 over Medusa hier.

redactie@belgiumcloud

redactie@belgiumcloud

Persberichten, blogs en andere content kunt u mailen naar robbert@belgiumcloud.com

Pin It on Pinterest

Share This