A livello operativo parliamo di un classico ransomware che attacca le vittime sottraendo dati che poi minaccia di rendere di pubblico dominio. Ma la strategia della gang di cybercriminali che si fa chiamare Medusa è molto arguta.
Ha iniziato la sua attività di soppiatto due anni fa, ma solo nell’ultimo mese ha fatto parlare di sé per aver sottratto dati a moltissime aziende, chiedendo in cambio riscatti piuttosto onerosi. Di recente ha aperto un sito per pubblicare i dati rubati delle vittime che non pagano.
Proprio la scorsa settimana ha attirato l'attenzione dei media per aver rivendicato un attacco alle scuole pubbliche di Minneapolis, e aver condiviso in rete i dati rubati in quell'occasione.
MedusaLocker vs. Medusa
Nella mitologia greca Medusa, nota per la chioma di serpenti, è una delle tre Gorgoni, trasformata in mostro da Atena e condannata a pietrificare chiunque incontrasse il suo sguardo. La gang si è più volte assunta la responsabilità degli attacchi, ma c'è ancora nebbia intorno al nome “Medusa”. Denominazione molto comune nella cyber criminalità.
Diverse famiglie di malware usano il nome Medusa. C’è una botnet basata su Mirai, un trojan bancario per Android e un ransomware denominato MedusaLocker che potrebbe essere confuso con il ransomware Medusa, ma c’è differenza.
Con MedusaLocker si intende l’operazione avviata nel 2019 nelle vesti di "Ransomware-as-a-Service", contraddistinta da numerosi affiliati e una nota di riscatto pubblicata in un file html.
Il ransomware Medusa è invece in circolazione da giugno 2021 e la sua peculiarità è l'uso dell'estensione di file crittografata .MEDUSA e la nota di riscatto pubblicata in un file di testo (!!!READ_ME_MEDUSA!!!.txt).
Medusa, l'attacco informatico peggiore del momento
Analizzando il codice del malware, il portale Bleeping Computer è riuscito a scoprire il modo in cui la gang attacca i dispositivi Windows. Secondo quanto riportato, il ransomware è in grado di terminare oltre 280 servizi e processi di Windows che potrebbero impedire la crittografia dei file, tra cui quelli associati a database, email, backup e antivirus.
Poi, elimina le copie shadow del volume di Windows per ostacolare la possibilità di recuperare i file. Tutti i file crittografati acquisiscono l'estensione .MEDUSA, e il ransomware crea una nota di riscatto con tutte le informazioni su ciò che è accaduto ai file della vittima e una serie di contatti, come il canale Telegram, l’indirizzo del sito Tor per la negoziazione e l'indirizzo email Proton.
Medusa elimina anche i file archiviati localmente legati a programmi di backup (compresi quelli dei dischi rigidi virtuali). Ma non è tutto. Come si riscontra in quasi tutte le operazioni ransomware mirate a colpire le aziende, anche Medusa dispone di un sito di fuga di dati “Medusa Blog”, in cui minaccia di far trapelare i dati delle vittime che si rifiutano di pagare un riscatto.
Ma prima di pubblicare definitivamente i dati sottratti a un'azienda, i cybercriminali le offrono diverse opzioni per riscattarli dietro il pagamento di una somma di denaro. Ogni opzione ha il suo prezzo. C’è anche un conto alla rovescia che indica alle vittime il tempo a disposizione prima che i dati rubati diventino di pubblico dominio.
É certo che pagare il riscatto non offra alcuna garanzia. Ma per ovviare al rischio terribile legato alla perdita o al danneggiamento dei dati, bisogna adottare misure preventive: strategie di backup e ripristino solide, atte a salvaguardare i dati (meglio se cifrati) e le operazioni aziendali e a ripristinare il tutto velocemente, senza cedere al ricatto.