Có nguồn gốc là Ransomware-as-a-Service (RaaS) vào cuối năm 2022, phần mềm ransomware Medusa đã nhanh chóng nổi lên, chủ yếu nhắm vào môi trường Windows. Phần mềm độc hại này thể hiện sự leo thang đáng kể trong các hoạt động ransomware, đánh dấu bằng sự thay đổi đáng lo ngại trong các chiến thuật tống tiền.
Đầu năm 2023 chứng kiến sự ra mắt của Blog Medusa, một trang web chuyên rò rỉ thông tin trên web đen. Nền tảng này đóng vai trò như một nơi trưng bày về dữ liệu từ những nạn nhân không thực hiện theo khi bị tống tiền. Nhóm ransomware Medusa lợi dụng trang web này để gây áp lực, cung cấp cho nạn nhân nhiều tùy chọn tốn kém khác nhau để mở rộng, xóa hoặc tải xuống dữ liệu.
Ngoài tính ẩn danh của web đen, Medusa mở rộng phạm vi tiếp cận của mình thông qua kênh Telegram công cộng, được đặt tên là “hỗ trợ thông tin”. Kênh này đóng vai trò là phương tiện dễ tiếp cận để chia sẻ tệp từ các tổ chức bị xâm nhập, tăng khả năng hiển thị và phạm vi tiếp cận của mối đe dọa.
Phương thức hoạt động của Medusa liên quan đến việc khai thác các dịch vụ dễ bị tấn công và chiếm đoạt các tài khoản hợp pháp, thường sử dụng các nhà môi giới truy cập ban đầu để xâm nhập. Nhóm này sử dụng các phần mềm hợp pháp cho mục đích xấu. Phương pháp này hòa vào với lưu lượng truy cập thông thường, khiến việc phát hiện trở nên khó khăn.
Cách tấn công bừa bãi của Medusa đã tác động đến nhiều lĩnh vực khác nhau trên toàn thế giới, với một số lượng đáng kể các sự cố xảy ra ở Hoa Kỳ và Châu u. Dấu chân của nó nhấn mạnh mối đe dọa phổ biến do các tác nhân ransomware như vậy gây ra.
Phần mềm ransomware Medusa có các chiến thuật, công cụ và quy trình phức tạp. Chúng bao gồm vị trí webshell, trình điều khiển hạt nhân được mã hóa và các ứng dụng mới của công cụ Netscan.
Sự xuất hiện của ransomware Medusa đánh dấu một bước tiến lớn trong bối cảnh mối đe dọa mạng. Các phương pháp phức tạp của nó, cùng với các chiến thuật gây áp lực minh bạch, đòi hỏi các tổ chức trên toàn thế giới phải có một chiến lược phòng thủ chủ động và mạnh mẽ hơn.