Nel 2023, la cybergang Medusa ha intensificato la potenza dei suoi attacchi ransomware contro le aziende.
Questo ransomware opera estraendo dati dalle organizzazioni colpite per perpetrare un attacco di doppia estorsione.
In tale modalità, gli autori minacciano di crittografare i sistemi violati e, in caso di mancato pagamento del riscatto, vendere o diffondere pubblicamente i dati estorti. I file vengono crittografati utilizzando l’estensione .MEDUSA, accompagnata dalla richiesta di riscatto contenuta in un file di testo denominato (!!!READ_ME_MEDUSA!!!.txt).

In questo articolo, esamineremo dettagliatamente le modalità operative del ransomware Medusa e analizzeremo gli impatti subiti dalle aziende coinvolte.

medusa ransomware

Ransomware Medusa, che cos’è e come funziona?

Il Medusa Ransomware penetra nei sistemi sfruttando la presenza di alcune vulnerabilità nei protocolli di Remote Desktop (RDP) e attraverso sofisticate campagne di phishing che il gruppo impiega per penetrare nei sistemi delle organizzazioni.
Una volta infiltrato in un sistema, Medusa sfrutta PowerShell per eseguire comandi, cancellando in modo sistematico i backup delle copie delle shadow per impedire il recupero dei dati. Non si ferma qui: il ransomware si diffonde nella rete aumentando i propri privilegi di sistema e disabilitando le difese. Il culmine del suo attacco viene raggiunto attraverso i processi di crittografia dati e la presentazione di una nota di riscatto che richiede il pagamento di una cifra in cambio della decrittografia.

Medusa Ransomware utilizza diversi exploit, tra cui quelli risalenti al 2022. in particolare:

  1. CVE-2022-2295
  2. CVE-2022-21999
  3. CVE-2018-13379.

Le sue varianti differiscono principalmente per la nota di riscatto: alcune sono in formato TXT, altre in file HTML.
Le versioni più recenti mostrano una predilezione per le note di riscatto in formato HTML.

Il gruppo Ransomware Medusa comunica le sue azioni attraverso il Medusa Blog, un sito che promuove il data leak della cybergang, pubblicando i dati trafugati dalle vittime che hanno scelto di non pagare il riscatto.
La pagina del blog include link ai canali Telegram e Twitter.

Alcune varianti del ransomware includono informazioni di contatto nella nota di riscatto, come un’e-mail per supporto informazioni e un canale Telegram dedicato nel quale vengono condivise le informazioni rubate delle vittime.
Cliccando sull’annuncio, si apre la pagina dedicata al data leak con relativo timer per il conto alla rovescia, se i dati non sono stati divulgati, altrimenti appare la scritta “PUBBLICATO”. Il resto della pagina contiene screenshot dei dati aggiunti da Medusa ransomware come prova.

Modalità operativa

Ransomware Medusa è attivo da giugno 2021 e si distingue da MedusaLocker.
Nel corso del 2023, però, questo gruppo ransomware ha intensificato le sue attività.

Solo nel mese di febbraio, il ransomware Medusa ha preso di mira ben 17 obiettivi diversi.
Il malware colpisce le sue vittime ricorrendo ad una combinazione di crittografia AES a 256 bit e RSA a 2.048 bit.

La nota di riscatto di MEDUSA afferma che la rete è stata compromessa, tutti i dati sono stati crittografati e l’unico modo per ripristinarli è pagare il riscatto. Questo è un classico esempio di come si presenta la nota di riscatto.

medusa ransomware note

Il gruppo di attaccanti offre assistenza tramite live chat e richiede il pagamento per fornire strumenti e chiavi di decrittazione. Inoltre, il collettivo avverte che, se il riscatto non viene pagato entro tre giorni, i dati verranno divulgati.

Quali sono i bersagli del Ransomware Medusa?

Le aziende prese di mira da Medusa mostrano una concentrazione significativa degli attacchi in Nord e Sud America, oltre che in Europa.
Tra queste nazioni, la maggior parte delle imprese colpite risiede negli Stati Uniti e nel Regno Unito.

La scelta dei bersagli da parte di Medusa non è casuale; sono attentamente selezionati per massimizzare l’impatto.
Uno degli attacchi più audaci è stato rivolto al distretto scolastico di Minneapolis nel marzo 2023. Qui il gruppo ransomware ha richiesto un pagamento di un milione di dollari. Di fronte al rifiuto del distretto, Medusa ha reagito pubblicando i dati rubati sul loro sito.
Quest’episodio dimostra come Medusa miri ad organizzazioni e istituzioni, assicurandosi che i suoi attacchi generino un impatto a livello globale.

In Italia, Medusa ha attaccato e reso pubblici i dati rubati da Postel, una società controllata da Poste Italiane.

Questi dati includono:

  • carte di identità
  • passaporti
  • attestati

altre informazioni sensibili dei dipendenti tra cui anche

  • password
  • accessi a Spid
  • e-mail contrassegnate come “confidenziali” o “riservate”
  • dettagli relativi a congedi parentali e malattie.

Questi dati sono stati resi pubblici il 15 agosto 2023, come precedentemente annunciato da Medusa.
Inoltre, i dati di Postel hanno iniziato a circolare su Telegram, un canale scelto dalla cybergang per diffondere ulteriormente gli archivi rubati, dopo averli già resi noti sul proprio sito.

Misure di prevenzione e mitigazione contro il Ransomware Medusa

Per contrastare efficacemente questa minaccia, è essenziale adottare un approccio multilivello alla sicurezza informatica.
Innanzitutto, è fondamentale mantenere aggiornati tutti i sistemi e i software, inclusi sistemi operativi e applicazioni, per proteggersi dalle vulnerabilità sfruttate dai cybercriminali per dare inizio all’attacco.
Inoltre, l’implementazione di soluzioni antivirus e antimalware affidabili, aggiornate regolarmente, offre una difesa essenziale contro i tentativi di infezione.

La formazione degli utenti svolge un ruolo cruciale nella prevenzione del ransomware Medusa.
È altresì importante implementare strategie di backup robuste, preferibilmente seguendo la regola del 3-2-1: mantenere almeno tre copie dei dati, su due tipi di storage diversi, con una copia off-site. In caso di attacco, avere accesso a backup sicuri e aggiornati può evitare la perdita di dati critici e l’obbligo di pagare il riscatto.

Infine, l’adozione di reti separate per la tutela dei dati critici e l’impiego di strumenti di rilevazione e risposta agli incidenti (EDR) potenziano la capacità di un’organizzazione di isolare rapidamente un attacco e mitigarne gli effetti, preservando l’integrità dei sistemi essenziali.
Attraverso la combinazione di aggiornamenti costanti e soluzioni avanzate di sicurezza, è possibile costruire una difesa solida contro il ransomware Medusa.