vaspvort
Ночной дозор
Команда форума
Модератор
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
Private Club
Старожил
Migalki Club
Меценат💰️
Хакеры наращивают активность на фоне краха конкурирующих группировок.
Хакерская группировка, стоящая за вымогательским ПО Medusa, за два года атаковала почти 400 организаций, и темпы её деятельности только растут. исследователей Symantec, только за первые два месяца 2025 года группировка совершила более 40 атак, что свидетельствует о значительном увеличении их активности.
Специалисты Symantec отслеживают эту киберпреступную группировку под именем Spearwing. Как и многие другие операторы программ-вымогателей, злоумышленники используют тактику двойного вымогательства: сперва похищают данные жертвы, а затем шифруют их, чтобы усилить давление и добиться выплаты выкупа. Если жертвы отказываются платить, украденная информация публикуется на их сайте с утечками.
Всплеск атак Medusa совпал с кризисом у двух крупнейших вымогательских группировок — LockBit и BlackCat. Их недавние сбои позволили другим участникам рынка, таким как RansomHub, Play и Qilin, активизироваться и занять освободившуюся нишу. На этом фоне Medusa также стремительно наращивает количество атак, возможно, пытаясь закрепиться в числе лидеров среди вымогателей.
Рынок программ-вымогателей находится в постоянной трансформации, и на сцене появляются всё новые группировки. Только за последние месяцы зафиксированы атаки со стороны таких RaaS-операторов, как Anubis, CipherLocker, Core, Dange, LCRYX, Loches, Vgod и Xelera.
Medusa, в отличие от многих конкурентов, не ограничивается одной отраслью: она атакует как государственные и финансовые организации, так и медицинские учреждения и некоммерческие организации. Размеры выкупа варьируются от 100 тысяч до 15 миллионов долларов.
Злоумышленники используют уязвимости в публично доступных сервисах для первоначального проникновения в сети, в частности, в Microsoft Exchange Server. Также существует вероятность, что для доступа к корпоративным системам они прибегают к услугам посредников, продающих доступ ко взломанным сетям.
После проникновения в систему атакующие применяют инструменты удалённого администрирования, такие как SimpleHelp, AnyDesk и MeshAgent, чтобы сохранить контроль над заражённой сетью. Кроме того, они используют известную тактику Bring Your Own Vulnerable Driver (BYOVD), позволяющую завершать работу антивирусных решений с помощью утилиты KillAV. Последняя ранее применялась в атаках группировки BlackCat.
Одним из характерных признаков атак Medusa является использование программы PDQ Deploy. Она применяется злоумышленниками для развёртывания дополнительных инструментов и перемещения по сети жертвы. Среди других инструментов, замеченных в атаках Medusa, — Navicat для работы с базами данных, а также RoboCopy и Rclone для кражи данных.
Как отмечают специалисты Symantec, Medusa и её аффилированные группы ориентированы исключительно на финансовую выгоду и не руководствуются какими-либо идеологическими мотивами. Их жертвами становятся крупные организации из различных отраслей, что делает их серьёзной угрозой для корпоративного сектора.
Хакерская группировка, стоящая за вымогательским ПО Medusa, за два года атаковала почти 400 организаций, и темпы её деятельности только растут. исследователей Symantec, только за первые два месяца 2025 года группировка совершила более 40 атак, что свидетельствует о значительном увеличении их активности.
Специалисты Symantec отслеживают эту киберпреступную группировку под именем Spearwing. Как и многие другие операторы программ-вымогателей, злоумышленники используют тактику двойного вымогательства: сперва похищают данные жертвы, а затем шифруют их, чтобы усилить давление и добиться выплаты выкупа. Если жертвы отказываются платить, украденная информация публикуется на их сайте с утечками.
Всплеск атак Medusa совпал с кризисом у двух крупнейших вымогательских группировок — LockBit и BlackCat. Их недавние сбои позволили другим участникам рынка, таким как RansomHub, Play и Qilin, активизироваться и занять освободившуюся нишу. На этом фоне Medusa также стремительно наращивает количество атак, возможно, пытаясь закрепиться в числе лидеров среди вымогателей.
Рынок программ-вымогателей находится в постоянной трансформации, и на сцене появляются всё новые группировки. Только за последние месяцы зафиксированы атаки со стороны таких RaaS-операторов, как Anubis, CipherLocker, Core, Dange, LCRYX, Loches, Vgod и Xelera.
Medusa, в отличие от многих конкурентов, не ограничивается одной отраслью: она атакует как государственные и финансовые организации, так и медицинские учреждения и некоммерческие организации. Размеры выкупа варьируются от 100 тысяч до 15 миллионов долларов.
Злоумышленники используют уязвимости в публично доступных сервисах для первоначального проникновения в сети, в частности, в Microsoft Exchange Server. Также существует вероятность, что для доступа к корпоративным системам они прибегают к услугам посредников, продающих доступ ко взломанным сетям.
После проникновения в систему атакующие применяют инструменты удалённого администрирования, такие как SimpleHelp, AnyDesk и MeshAgent, чтобы сохранить контроль над заражённой сетью. Кроме того, они используют известную тактику Bring Your Own Vulnerable Driver (BYOVD), позволяющую завершать работу антивирусных решений с помощью утилиты KillAV. Последняя ранее применялась в атаках группировки BlackCat.
Одним из характерных признаков атак Medusa является использование программы PDQ Deploy. Она применяется злоумышленниками для развёртывания дополнительных инструментов и перемещения по сети жертвы. Среди других инструментов, замеченных в атаках Medusa, — Navicat для работы с базами данных, а также RoboCopy и Rclone для кражи данных.
Как отмечают специалисты Symantec, Medusa и её аффилированные группы ориентированы исключительно на финансовую выгоду и не руководствуются какими-либо идеологическими мотивами. Их жертвами становятся крупные организации из различных отраслей, что делает их серьёзной угрозой для корпоративного сектора.
