Copilot ve Microsoft Azure için yeni Vectra AI Platform kapsamı ile tanışın

Vectra AI Japonya、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Hamburger simgesi üst satır
Hamburger simgesi orta çizgi
Hamburger simgesi alt satırı
cybercriminels
>
Fidye Yazılım Grubu

Medusa

Medusa fidye yazılımı, hızlı şifreleme yetenekleri ve benzersiz dağıtım teknikleriyle bilinen, öncelikle fidye ödemelerini zorla almak amacıyla çeşitli sektörlerdeki kuruluşları hedef alan sofistike bir siber tehdittir.

Medusa'nın TTP'lerini tespit edin
Kuruluşunuz Medusa Fidye Yazılımının Saldırılarına Karşı Güvende mi?
Arka plan
Hedefler
TTP'ler
Algılama
Sıkça Sorulan Sorular
Tehdit Brifingini izleyin

Medusa fidye yazılımının kökeni

Medusa veya MedusaBlog, en azından 2023'ün başından beri kuruluşları aktif olarak hedef alan sofistike bir fidye yazılımı grubudur. Grup, hızlı şifreleme yetenekleri ve malware adresini yaymak için kullandığı benzersiz tekniklerle ün kazanmıştır ve MedusaLocker ile ilişkili görünmektedir. "Medusa" adı, grubun mecazi olarak "dosyaları taşa çevirme" ve fidye ödenene kadar kullanılamaz hale getirme eğilimini yansıtmaktadır.

Kaynak: Unit42 ve OCD

Medusa fidye yazılımının kökeni
Hedefler

Medusa'nın hedefleri

Medusa fidye yazılımının hedef aldığı ülkeler

Medusa'nın saldırılarının çoğu Amerika Birleşik Devletleri'nde yoğunlaşmıştır, ancak Birleşik Krallık, Kanada ve Avustralya gibi ülkelerde de önemli olaylar rapor edilmiştir. Bu dağılım, kapsamlı dijital altyapılara sahip gelişmiş ülkelere odaklanıldığını göstermektedir.

Kaynak: Unit42

Medusa fidye yazılımının hedef aldığı sektörler

Medusa fidye yazılımı çok çeşitli sektörleri etkilemiştir. Yüksek değerli hedefler arasında sağlık, üretim, eğitim ve profesyonel hizmetler yer alıyor ve bu da grubun kritik ve hassas bilgileri işleyen sektörlere saldırma stratejisini yansıtıyor.

Kaynak: Unit42

Medusa fidye yazılımının hedef aldığı sektörler

Medusa fidye yazılımı çok çeşitli sektörleri etkilemiştir. Yüksek değerli hedefler arasında sağlık, üretim, eğitim ve profesyonel hizmetler yer alıyor ve bu da grubun kritik ve hassas bilgileri işleyen sektörlere saldırma stratejisini yansıtıyor.

Kaynak: Unit42

Medusa fidye yazılımının kurbanları

Medusa 2023'ten bu yana 235'ten fazla kurbanı hedef almıştır.

Kaynak: ransomware.live

Saldırı Yöntemi

Medusa fidye yazılımının saldırı yöntemi

İlk Erişim
Ayrıcalık Yükseltme
Savunma Kaçırma
Kimlik Bilgileri Erişimi
Keşif
Yanal Hareket
Koleksiyon
Yürütme
Sızma
Etki
Bilgisayarlar, akıllı telefonlar ve tabletler gibi çeşitli cihazlarla dolu dijital bir manzara üzerinde geniş bir ağ atan gölgeli bir figür. Ağ, saldırganın güvenlik açıklarını bulma veya yetkisiz erişim elde etmek için phishing tekniklerini kullanma girişimlerini sembolize eder.

Medusa genellikle uzak masaüstü protokollerindeki (RDP) güvenlik açıklarından faydalanarak ve phishing kampanyalarını kullanarak erişim elde eder. Ayrıca, çeşitli yollarla elde edilen tehlikeye atılmış kimlik bilgilerini de kullanırlar.

Temel bir kullanıcı simgesinden yukarıya, yönetici ayrıcalıklarını simgeleyen bir taca doğru uzanan dijital bir merdiven. Bu, saldırganın sistem içinde daha üst düzey erişim elde etme çabalarını temsil eder.

Medusa bir ağa girdikten sonra, ayrıcalıkları yükseltmek ve sistem içinde daha güçlü bir yer edinmek için PsExec gibi araçlar kullanır.

Dijital bir arka plana karışan, etrafında sıfırlar ve birler akan bir bukalemun. Bu, saldırganın normal ağ trafiğine karışmak için taktik değiştirerek güvenlik önlemleri tarafından tespit edilmekten kaçınma yeteneğini temsil eder.

Grup, PowerShell komut dosyalarını kullanarak güvenlik araçlarını devre dışı bırakır ve tespit edilmekten kaçınmak için kayıt defteri ayarlarını değiştirir. Ayrıca kötü amaçlı kodları gizlemek için dize şifreleme tekniklerini kullanırlar.

Giriş formu şeklindeki dev bir anahtar deliği üzerinde çalışan maymuncuk aletine sahip bir hırsız, saldırganın yetkisiz erişim elde etmek için kullanıcı kimlik bilgilerini çalma çabalarını temsil ediyor.

Medusa, çeşitli komut satırı araçları ve komut dosyaları kullanarak kimlik bilgilerini toplar ve ağ üzerinde yanal olarak hareket etmelerini sağlar.

Bir ağın dijital haritası üzerinde hareket eden ve dosyaları, klasörleri ve ağ bağlantılarını vurgulayan bir büyüteç. Bu görüntü, saldırganların yapıyı ve değerli verilerin nerede bulunduğunu anlamak için ortamı keşfettikleri aşamayı temsil eder.

Değerli hedefleri belirlemek ve ağ topolojisi hakkında bilgi toplamak için Netscan gibi araçları kullanarak kapsamlı ağ keşifleri gerçekleştirirler.

Gölgeli bir figürün aralarında gizlice hareket ettiği bir dizi birbirine bağlı düğüm. Bu, ek sistemlerin kontrolünü ele geçirmek veya malware adresini yaymak isteyen saldırganın ağ içindeki hareketlerini göstermektedir.

Medusa, çalınan kimlik bilgilerinden yararlanarak ağ içinde yanal olarak hareket etmek için RDP ve SMB gibi meşru araçları ve protokolleri kullanır.

Dosyaları, veri simgelerini ve klasörleri gölgeli bir figür tarafından tutulan bir torbaya emen büyük bir vakum. Bu görüntü, hedef ağdan değerli verilerin toplanması sürecini sembolize eder.

Fidye yazılımı, virüs bulaşmış sistemlerden hassas verileri toplayarak dışarı sızmaya hazırlar.

Dijital bir arka planın önünde açılan ve kötü amaçlı kod yazılan bir komut istemi penceresi. Bu, saldırganların ele geçirilen sistem içinde kötü amaçlı yüklerini çalıştırdıkları aşamayı temsil eder.

Fidye yazılımı dosyaları AES256 şifreleme kullanarak şifreler ve etkilenen dosyalara ".medusa" uzantısını ekler.

Bir bilgisayardan gizli bir kanal aracılığıyla kurukafa ile etiketlenmiş bir buluta aktarılan bir dizi dosya, verilerin saldırgan tarafından kontrol edilen bir konuma izinsiz olarak aktarılmasını sembolize eder.

Veriler saldırganlar tarafından kontrol edilen uzak sunuculara sızdırılır. Bu veriler daha sonra kurbanlara fidye ödemeleri için baskı yapmak amacıyla kullanılır.

Arkasında kaos içinde dijital bir şehir manzarası olan kırık bir ekran, siber saldırının hizmet kesintisi, veri imhası veya mali kayıp gibi yıkıcı etkisini sembolize eder.

Son aşamada, genellikle "!!!read_me_medusa!!!.txt" olarak adlandırılan ve kurbanlara dosyalarının şifresini çözmek için fidyeyi nasıl ödeyecekleri konusunda talimat veren bir fidye notu bırakılır. Grup, fidye işlemlerini güvence altına almak için RSA ve AES şifrelemesinin bir karışımını kullanıyor.

Bilgisayarlar, akıllı telefonlar ve tabletler gibi çeşitli cihazlarla dolu dijital bir manzara üzerinde geniş bir ağ atan gölgeli bir figür. Ağ, saldırganın güvenlik açıklarını bulma veya yetkisiz erişim elde etmek için phishing tekniklerini kullanma girişimlerini sembolize eder.
İlk Erişim

Medusa genellikle uzak masaüstü protokollerindeki (RDP) güvenlik açıklarından faydalanarak ve phishing kampanyalarını kullanarak erişim elde eder. Ayrıca, çeşitli yollarla elde edilen tehlikeye atılmış kimlik bilgilerini de kullanırlar.

Temel bir kullanıcı simgesinden yukarıya, yönetici ayrıcalıklarını simgeleyen bir taca doğru uzanan dijital bir merdiven. Bu, saldırganın sistem içinde daha üst düzey erişim elde etme çabalarını temsil eder.
Ayrıcalık Yükseltme

Medusa bir ağa girdikten sonra, ayrıcalıkları yükseltmek ve sistem içinde daha güçlü bir yer edinmek için PsExec gibi araçlar kullanır.

Dijital bir arka plana karışan, etrafında sıfırlar ve birler akan bir bukalemun. Bu, saldırganın normal ağ trafiğine karışmak için taktik değiştirerek güvenlik önlemleri tarafından tespit edilmekten kaçınma yeteneğini temsil eder.
Savunma Kaçırma

Grup, PowerShell komut dosyalarını kullanarak güvenlik araçlarını devre dışı bırakır ve tespit edilmekten kaçınmak için kayıt defteri ayarlarını değiştirir. Ayrıca kötü amaçlı kodları gizlemek için dize şifreleme tekniklerini kullanırlar.

Giriş formu şeklindeki dev bir anahtar deliği üzerinde çalışan maymuncuk aletine sahip bir hırsız, saldırganın yetkisiz erişim elde etmek için kullanıcı kimlik bilgilerini çalma çabalarını temsil ediyor.
Kimlik Bilgileri Erişimi

Medusa, çeşitli komut satırı araçları ve komut dosyaları kullanarak kimlik bilgilerini toplar ve ağ üzerinde yanal olarak hareket etmelerini sağlar.

Bir ağın dijital haritası üzerinde hareket eden ve dosyaları, klasörleri ve ağ bağlantılarını vurgulayan bir büyüteç. Bu görüntü, saldırganların yapıyı ve değerli verilerin nerede bulunduğunu anlamak için ortamı keşfettikleri aşamayı temsil eder.
Keşif

Değerli hedefleri belirlemek ve ağ topolojisi hakkında bilgi toplamak için Netscan gibi araçları kullanarak kapsamlı ağ keşifleri gerçekleştirirler.

Gölgeli bir figürün aralarında gizlice hareket ettiği bir dizi birbirine bağlı düğüm. Bu, ek sistemlerin kontrolünü ele geçirmek veya malware adresini yaymak isteyen saldırganın ağ içindeki hareketlerini göstermektedir.
Yanal Hareket

Medusa, çalınan kimlik bilgilerinden yararlanarak ağ içinde yanal olarak hareket etmek için RDP ve SMB gibi meşru araçları ve protokolleri kullanır.

Dosyaları, veri simgelerini ve klasörleri gölgeli bir figür tarafından tutulan bir torbaya emen büyük bir vakum. Bu görüntü, hedef ağdan değerli verilerin toplanması sürecini sembolize eder.
Koleksiyon

Fidye yazılımı, virüs bulaşmış sistemlerden hassas verileri toplayarak dışarı sızmaya hazırlar.

Dijital bir arka planın önünde açılan ve kötü amaçlı kod yazılan bir komut istemi penceresi. Bu, saldırganların ele geçirilen sistem içinde kötü amaçlı yüklerini çalıştırdıkları aşamayı temsil eder.
Yürütme

Fidye yazılımı dosyaları AES256 şifreleme kullanarak şifreler ve etkilenen dosyalara ".medusa" uzantısını ekler.

Bir bilgisayardan gizli bir kanal aracılığıyla kurukafa ile etiketlenmiş bir buluta aktarılan bir dizi dosya, verilerin saldırgan tarafından kontrol edilen bir konuma izinsiz olarak aktarılmasını sembolize eder.
Sızma

Veriler saldırganlar tarafından kontrol edilen uzak sunuculara sızdırılır. Bu veriler daha sonra kurbanlara fidye ödemeleri için baskı yapmak amacıyla kullanılır.

Arkasında kaos içinde dijital bir şehir manzarası olan kırık bir ekran, siber saldırının hizmet kesintisi, veri imhası veya mali kayıp gibi yıkıcı etkisini sembolize eder.
Etki

Son aşamada, genellikle "!!!read_me_medusa!!!.txt" olarak adlandırılan ve kurbanlara dosyalarının şifresini çözmek için fidyeyi nasıl ödeyecekleri konusunda talimat veren bir fidye notu bırakılır. Grup, fidye işlemlerini güvence altına almak için RSA ve AES şifrelemesinin bir karışımını kullanıyor.

MITRE ATT&CK Haritalama

Medusa fidye yazılımı tarafından kullanılan TTP'ler

Medusa fidye yazılımı MITRE ATT&CK çerçevesiyle uyumlu çeşitli TTP'ler kullanmaktadır. Temel TTP'lerden bazıları şunlardır:

TA0001: Initial Access
T1566
Phishing
T1133
External Remote Services
T1078
Valid Accounts
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
T1098
Account Manipulation
T1078
Valid Accounts
TA0004: Privilege Escalation
T1078
Valid Accounts
TA0005: Defense Evasion
T1112
Modify Registry
T1027
Obfuscated Files or Information
T1070
Indicator Removal
T1562
Impair Defenses
T1078
Valid Accounts
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
T1046
Network Service Discovery
T1018
Remote System Discovery
TA0008: Lateral Movement
T1021
Remote Services
TA0009: Collection
T1115
Clipboard Data
TA0011: Command and Control
T1105
Ingress Tool Transfer
TA0010: Exfiltration
T1041
Exfiltration Over C2 Channel
TA0040: Impact
T1486
Data Encrypted for Impact
Platform Tespitleri

Medusa fidye yazılımı nasıl tespit edilir Vectra AI

AWS Ransomware S3 Activity

M365 Internal Spearphishing

M365 Ransomware

RDP Recon

Ransomware File Activity

Suspicious Port Scan

Daha fazla algılama görüntüleyin
Saldırıya maruz kalma durumunuzu değerlendirin

Sıkça Sorulan Sorular

Medusa'nın birincil erişim yöntemi nedir?

Medusa öncelikle uzak masaüstü protokollerindeki (RDP) güvenlik açıklarından faydalanır ve ilk erişimi elde etmek için phishing kampanyalarını kullanır.

Medusa fidye yazılımı tespit edilmekten nasıl kaçıyor?

Güvenlik araçlarını devre dışı bırakmak ve tespit edilmekten kaçınmak için PowerShell komut dosyaları kullanır ve kayıt defteri ayarlarını değiştirirler.

Medusa fidye yazılımı en çok hangi sektörleri hedef alıyor?

Sağlık, imalat, eğitim ve profesyonel hizmetler en çok hedeflenen sektörler arasında yer alıyor.

Medusa fidye yazılımı hangi şifreleme yöntemlerini kullanır?

Medusa, fidye yazılımı işlemlerini güvence altına almak ve kurban dosyalarını şifrelemek için RSA ve AES256 şifrelemesinin bir kombinasyonunu kullanır.

Medusa fidye yazılımı verileri nasıl sızdırır?

Veriler, tespit edilmekten kaçınmak için genellikle güvenli kanallar üzerinden saldırganlar tarafından kontrol edilen uzak sunuculara sızdırılır.

Medusa tarafından kullanılan tipik fidye notu adı nedir?

Fidye notu genellikle "!!!read_me_medusa!!!.txt" olarak adlandırılır.

Medusa fidye yazılımı ağ keşfi için hangi araçları kullanıyor?

Medusa, ağ keşfi ve değerli hedefleri belirlemek için Netscan gibi araçlar kullanır.

Medusa fidye yazılımı yanal hareketi nasıl başarıyor?

RDP ve SMB gibi meşru araç ve protokolleri kullanarak çalıntı kimlik bilgileriyle yanlara doğru hareket ederler.

Kurumlar Medusa fidye yazılımına karşı nasıl korunabilir?

Düzenli yama uygulama, çok faktörlü kimlik doğrulama kullanma ve olağandışı faaliyetler için ağ trafiğini izleme gibi güçlü güvenlik önlemleri uygulamak Medusa'ya karşı korunmaya yardımcı olabilir.

XDR çözümleri Medusa fidye yazılımına karşı savunmada nasıl bir rol oynayabilir?

XDR çözümleri, uç noktalar, ağlar ve bulut ortamlarındaki şüpheli etkinlikleri tespit edip azaltarak kapsamlı görünürlük ve otomatik yanıt yetenekleri sağlar.

Kuruluşunuz Medusa Fidye Yazılımının Saldırılarına Karşı Güvende mi?

Saldırıya maruz kalma durumunuzu değerlendirin