Кибернападателите са добре запознати с последствията, които могат да имат атаките срещу критични инфраструктурни (снимка: CC0 Public Domain)
Стотици големи организации са пострадали от рансъмуер банди, известни с името Medusa (Медуза), през последните три години. Нападателите използват модел на „партньорство”, но запазват контрола върху цялостната операция.
Агенцията за сигурност на киберпространството и критичната инфраструктура на САЩ (CISA) публикува доклад в партньорство с ФБР и Центъра за обмен на информация и анализ MS-ISAC, който твърди, че рансъмуерът Медуза е атакувал най-малко 300 критични инфраструктури през последните месеци. Засегнати са организации от различни сектори – медицински, образователен, правен, застрахователен, технологичен и производствен.
Много кандидати за славата на Медуза
Интересното е, че има много несвързани групи, които се появяват под името Медуза. Същото име се използва от ботнет, базиран на кода Mirai, който може да изтегля рансъмуер в атакуваните системи, както и зловреден софтуер за операционната система Android, известен под друго име – TangleBot.
Според публикация на Bleeping Computer, има и рансъмуер, наречен MedusaLocker. Но в този случай става въпрос за различна заплаха – това е рансъмуер, забелязан за първи път през януари 2021 г. Групата зад него започва активни операции едва през 2023 г. По това време нападателите стартират уебсайт Medusa Blog, където публикуват данни, откраднати по време на атаки от засегнати организации. По този начин те се опитвали да принудят жертвите да платят откуп.
По време на активната дейност на групата, повече от 400 различни организации са станали жертва на Медуза. През март 2023 г. хакери атакуваха държавното училище в Минеаполис. По-късно, през ноември същата година, нападателите публикуваха данни, откраднати от инфраструктурата на подразделението за финансови услуги на Toyota: тогава компанията категорично отказа да плати откупа, поискан от нападателите – 8 милиона долара.
Първоначално Медуза е използван само от една група киберпрестъпници, които са отговорни както за разработването, така и за директните атаки. След известно време обаче нападателите преминават към модела RaaS (шифроване като услуга) и, според CISA, започват активно да набират „партньори” в киберпрестъпни платформи, обещавайки плащания от 100 до милион долара и „възможност за изключително сътрудничество”.
Превантивни мерки
Нападателите са добре запознати с последствията, които могат да имат атаките срещу критични инфраструктурни съоръжения. Спирането на дейността на такива предприятия косвено, ако не и пряко, заплашва животи и изнудвачите използват това като лост за натиск, отбелязват специалистите по сигурност.
Но в повечето случаи такива атаки могат да бъдат предотвратени и дори не са особено технологични: входните точки са все същите – социално инженерство или софтуерни уязвимости.
CISA препоръчва предприемане на редица незабавни превантивни мерки срещу атаките на Медуза, първата от които е затваряне на уязвимостите във всички софтуерни компоненти, присъстващи в мрежите. Освен това силно се препоръчва сегментиране на мрежите, за да се сведе до минимум пространството за маневриране на нападателите, ако влязат вътре.
Необходимо е също така да се приложи филтриране на трафика и блокиране на отдалечения достъп до вътрешните системи за неизвестни или съмнителни източници, съветват експертите.