Microsoft hebt in seiner Analyse den hohen operativen Takt der Gruppe hervor. Reaktionsteams bei Sicherheitsvorfällen beobachteten, dass sich Medusa-Angreifer in Systeme einklinken und sofort neue Benutzerkonten anlegen, um ihren Zugang zu sichern. Während manche Angriffe nur 24 Stunden dauerten, ziehen sich Medusa-Vorfälle typischerweise über fünf bis sechs Tage hin und stützen sich stark auf legitime Fernwartungswerkzeuge wie ConnectWise ScreenConnect, AnyDesk und SimpleHelp.
„Der hohe operative Takt des Akteurs und seine Fähigkeit, exponierte Perimeter-Systeme zu identifizieren, haben sich als erfolgreich erwiesen; jüngste Einbrüche trafen schwer das Gesundheitswesen sowie Organisationen aus den Bereichen Bildung, Unternehmensdienstleistungen und Finanzwesen in Australien, dem Vereinigten Königreich und den USA“, erläuterte Microsoft.
Als konkrete Beispiele nennt Microsoft zwei Schwachstellen, die Medusa jeweils eine Woche vor der öffentlichen Bekanntgabe ausnutzte: CVE-2026-23760 in SmarterMail und CVE-2025-10035 in GoAnywhere Managed File Transfer. Die US-Behörde CISA hatte zuvor bestätigt, dass beide Lücken bei Ransomware-Angriffen verwendet wurden.
Ein Microsoft-Sprecher sagte gegenüber Recorded Future News, die Vorfälle seien Teil eines wachsenden Trends, bei dem Ransomware-Angreifer Schwachstellen fast unmittelbar zur Waffe machen. Je geschickter die Täter beim Aufspüren neuer Lücken würden, desto wichtiger sei es für Organisationen, ihren digitalen Fußabdruck zu kennen, bevor es für die Abwehr von Angriffen auf das Netzwerk-Perimeter zu spät sei.
Fachleute verorten die Medusa-Operation in Russland: Sie meidet Ziele in der Gemeinschaft Unabhängiger Staaten, ist in russischsprachigen Foren aktiv und verwendet kyrillische Schrift in ihren Werkzeugen. Die Gruppe trat 2021 in Erscheinung und hat wiederholt Gesundheitseinrichtungen und Kommunalverwaltungen in den USA ins Visier genommen.
Zuletzt reklamierte Medusa Angriffe auf Passaic County in New Jersey und das University of Mississippi Medical Center (UMMC) für sich. Das Krankenhaus nahm am 2. März mit Unterstützung des FBI und des Department of Homeland Security den vollständigen Betrieb wieder auf.
Sicherheitsexperten von Symantec berichteten zudem kürzlich, dass Mitglieder von Lazarus — einer bekannten nordkoreanischen Hackergruppe, die im Militär des Landes angesiedelt ist — Medusa-Ransomware einsetzten.
