FBI varuje, ransomware Medusa opäť udiera: Pozor by si mali dať hlavne Gmail a Outlook používatelia!
Bezpečnostní analytici upozorňujú na novú kampaň známeho ransomware malvéru Medusa.
Bezpečnostní analytici z CISA informujú o ransomware kampani Medusa, ktorá sa začala šíriť online priestorom. Medusa sa propaguje systémom Ransomware-ako-služba a aktívny je tento škodlivý softvér od roku 2021 do súčasnosti.
Ransomware-ako-služba je model, v rámci ktorého skúsenejší kyberzločinci navrhnú malvér a ten následne prenajímajú ďalším kyberzločincom za mesačný poplatok. Medusa ransomware sa spočiatku šíril ako uzatvorený ransomware variant. Znamená to, že vývoj malvéru a aj všetky operácie boli kontrolované kyberzločincami, ktorí malvér navrhli.
Ransomware je známy aj ako “vydieračsky softvér”. Ide o typ malvéru, ktorý ti zablokuje zariadenie a hackeri vyžadujú poplatok za to, aby ti ho odomkli. Suma sa platí v kryptomenách a môže sa pohybovať od desiatok až po stovky eur. Hackeri si v podstate sami uvádzajú “výkupné”, podľa toho, koľko momentálne potrebujú.
Medusa je obrovská ransomware kampaň
Bezpečnostní odborníci neradia platiť kyberzločincom. Hoci pošleš peniaze na účet, nikde nie je záruka, že ti zariadenie skutočne odomknú. V niektorých prípadoch môžu zločinci skúsiť, koľko peňazí z teba vedia dostať a budú si pýtať viac a viac. Zároveň sa častokrát stáva, že kým máš zablokované zariadenie, popri ransomware sa ti doňho nahral aj infostealer a hackeri ti kradnú citlivé dáta, zatiaľ čo čakáš na odomknutie zaraidenia.
V prípade ransomwaru Medusa využívajú aktéri model “dvojitého vydierania”. V praxi teda nielen že zablokujú tvoje zariadenie, no zároveň sa vyhrážajú, že zverejnia na internete všetky tvoje dáta, ak nezaplatíš. Aktéri za ransomwarom Medusa najímajú spoločníkov na rôznych kyberzločineckých fórach, či hackerských obchodných stránkach. Vyšetrovatelia vysvetľujú, že spoločníkom ponúkajú aktéri platby vo výškach od 100 do 1-milióna dolárov za to, že budú pracovať špecificky pre Medusu. Spoločníci následne útočia na obete pomocou phishingových kampaní alebo zneužívaním softvérových slabín.
Neprehliadni
Ransomware Medusa využíva niekoľko rôznych metód na vyhnutie sa odhaleniu. Popri tom používajú niekoľko rôznych softvérov na vzdialený prístup, pričom si môžu prispôsobiť ďalší postup na základe nástrojov, ktoré majú buď k dispozícii, alebo sa nachádzajú v prostredí obete. Po inštalácii ransomware malvéru zároveň do infikovaného zariadenia inštalujú softvér Rclone. Ten využívajú na skopírovanie dát na svoje hackerské C2 servery.
Počas útoku dokáže ransomware Medusa vypnúť antivírové služby, ako Windows Defender alebo iné.
“Aktéri za ransomware Medusa využívajú metódu dvojitého vydierania. Znamená to, že obeť útoku musí zaplatiť za dešifrovanie hacknutého zariadenia a druhýkrát musí zaplatiť za to, aby hackeri nezdieľali ukradnuté súbory na dark webe. Vo vydieračskom liste sa uvádza, že obeť musí kontaktovať kyberzločincov do 48 hodín buď cez čet v prehliadači Tor, alebo cez platformu Tox, ktorá poskytuje šifrované čety v reálnom čase. Ak obeť útoku nebude na výzvu reagovať, hackeri ju kontaktujú priamo, buď cez email alebo telefonátom,” vysvetľujú bezpečnostní analytici.
Čo sa týka útokov na platformy Gmail a Outlook, americký vyšetrovací úrad FBI radí, aby si užívatelia aktivovali dvojfaktorové overenie. Tým výrazne znížia riziko, že sa hackerskej skupine podarí získať prístup do ich účtov a teda ešte k väčšiemu množstvu osobných dát. Dvojfaktorové overenie v Gmaili ťa vie ochrániť aj pred celou škálou ďalších útokov.
Hackeri z Medusa skúšajú ešte jeden trik
Požiadavky kyberzločincov sú zapísané na ich stránke, na ktorej sa nachádzajú aj odkazy na rôzne kryptopeňaženky. Obeť môže eventuálne zaplatiť 10-tisíc dolárov na to, aby hackeri pridali ďalší deň k odpočtu, na konci ktorého dáta zverejnia na dark webe.
Americká FBI hovorí o prípade jednej z obetí, ktorá požiadavkám kyberzločincov vyhovela a zaplatila im výkupné. FBI hovorí, že po platbe sa obeti ozval jeden z aktérov za ransomware Medusa a povedal jej, že človek, ktorý vyjednával výkupné “zobral peniaze a utiekol”. Tento kyberzločinec si vyžiadal od obete ešte raz polovicu pôvodnej platby. Môžeme ale s dostatočným sebavedomím predpokladať, že ide len o ďalší krok ich podvodnej schémy.
Ransomware je zákerný malvér, ktorý sa z infikovaného zariadenia odstraňuje ťažko. Napriek tomu bezpečnostní experti radia, aby obete útoku za žiadnych okolností kyberzločincom neplatili. Nemajú v rukách žiadnu záruku, že hackeri svoje slovo dodržia. Spravidla to tak nebýva.
Komentáre