Malware-szűrőkre vadászik a Medusa. Az Elastic Security Labs kiberbiztonsági kutatók megjegyezték, hogy a támadások úgy kezdődnek, hogy a fenyegető szereplők ledobnak egy névtelen loadert, amely két dolgot telepít a célpontra. A sérülékeny drivert és a titkosítást.
A szóban forgó driver a smuol.sys, és a CrowdStrike Falcon CSAgent.sys nevű legális driverét utánozza. Azt is mondták, hogy a driver egy kínai gyártóhoz, az AbyssWorkerhez kapcsolható.
Egyre növekvő fenyegetés
A loader egy visszavont tanúsítványt használ. Miután a drivert az áldozat gépére telepíti, különböző EDR-eket vesz célba – írja az Elastic Security Labs jelentésére hivatkozva a TechRadar.
Az nem kimondottan számít újdonságnak, hogy elavult és sebezhető illesztőprogramokat használnak a vírusirtók és kártevő-eltávolító eszközök kiiktatására. A gyakorlat már évek óta létezik, és rosszindulatú programok telepítésére, érzékeny információk ellopására, vírusok terjesztésére és sok másra használják.
Éppen ezért a biztonsági kutatók újfent felhívták a figyelmet: a potenciális fenyegetések mérséklésének legjobb módja a szoftverek frissítése.
A Medusa mostanra az egyik legelterjedtebb Ransomware-as-a-service (RaaS) szolgáltatóvá nőtte ki magát.
A LockBit, vagy a RansomHub mellett immár a Medusa tehető felelőssé az elmúlt évek néhány legnagyobb támadásáért. Ez késztette az amerikai kormányt, hogy figyelmeztetést adjon ki a tevékenységéről.
Az FBI, a CISA, valamint az MS-ISAC március közepén tett közzé figyelmeztetést a Medusa kapcsán. Az akkori tájékoztatás szerint csak az Egyesült Államokban már több mint 300 áldozata volt ezeknek a támadásoknak a “kritikus infrastruktúrát üzemeltető ágazatokban”. Az érintett iparágak között az orvosi, oktatási, jogi, biztosítási, technológiai ágazatok, valamint a feldolgozóipar is megtalálhatók.
(Kép: unsplash.com/Markus Spiske)
