Medusa

Überblick

Medusa ist eine als Ransomware-as-a-Service betriebene Erpressergruppe. Sie stellt ihre Schadsoftware und Infrastruktur Partnern zur Verfügung, die im Namen der Operation Angriffe durchführen. Charakteristisch ist das Vorgehen der Double Extortion: Vor der Verschlüsselung der Systeme werden Daten aus dem Opfernetzwerk abgezogen, anschließend wird sowohl mit der Wiederherstellung als auch mit der Veröffentlichung der erbeuteten Informationen Druck ausgeübt. Im Visier stehen Einrichtungen unterschiedlicher Branchen mit Bezug zu kritischer Infrastruktur, darunter das Gesundheitswesen, der Bildungssektor, der juristische Bereich sowie die Fertigungsindustrie. Die Gruppe ist über einen längeren Zeitraum aktiv und hat zahlreiche Opfer angegriffen. Aufgrund ihrer anhaltenden Aktivität und der Ausrichtung auf versorgungsrelevante Sektoren wurde sie Gegenstand einer behördlichen Warnmeldung. Ihr arbeitsteiliges Partnermodell und die kombinierte Erpressung aus Verschlüsselung und Datendiebstahl prägen das Bedrohungsbild der Operation.

Taktiken & Vorgehen

Den Erstzugang verschafft sich Medusa über gültige Zugangsdaten zu RDP-Konten, die per Brute-Force oder über kompromittierte Anmeldedaten erlangt werden, über exponierte Fernzugriffsdienste sowie über Phishing-E-Mails mit Anhängen. Zur Ausführung dienen Windows-Bordmittel und WMI, darunter „bcdedit.exe“ und „vssadmin“; per „certutil“ werden weitere Schaddateien nachgeladen. Zur Abwehrumgehung deaktiviert die Gruppe Sicherheitswerkzeuge, nutzt den abgesicherten Modus und löscht Schattenkopien. Zum Einsatz kommen unter anderem Mimikatz, EDRSandBlast, KillAV, der ThrottleStop-Treiber, Advanced IP Scanner, SoftPerfect NetScan, PDQ Inventory, PsExec, RoboCopy sowie zahlreiche Fernwartungs- und Tunneling-Werkzeuge wie AnyDesk, ScreenConnect, Atera, Splashtop, Cloudflared, FRP und Ligolo. Die Verbreitung im Netzwerk erfolgt über RDP und SMB, die Datenabfluss über C2-Kanäle, alternative Protokolle wie FTP/SFTP und Cloud-Dienste. Verschlüsselt wird mit AES-256, Backups und Systemwiederherstellung werden gezielt unterbunden.

Schutzmaßnahmen

Fernzugänge wie RDP sollten über VPN und Mehr-Faktor-Authentisierung abgesichert, nicht benötigte exponierte Dienste deaktiviert und RDP-Konten mit starken Passwörtern sowie Sperrmechanismen gegen Brute-Force versehen werden. Eingehende E-Mails sollten zur Abwehr von Phishing-Anhängen gefiltert werden. Der Einsatz von Werkzeugen wie Mimikatz und EDRSandBlast sollte durch Manipulationsschutz der Sicherheitslösung und Überwachung von Anmeldedatenzugriffen erschwert werden; das Starten im abgesicherten Modus sowie die Ausführung von „bcdedit.exe“, „vssadmin“ und „certutil“ sollten überwacht werden. Unautorisierte Fernwartungswerkzeuge wie AnyDesk, ScreenConnect oder Atera sollten erkannt und blockiert werden. Ausgehender Datenverkehr zu unbekannten Servern, FTP/SFTP und Cloud-Diensten sollte überwacht werden, um Datenabfluss frühzeitig zu erkennen.