Хакеры наращивают активность на фоне краха конкурирующих группировок.
Хакерская группировка, стоящая за вымогательским ПО Medusa, за два года атаковала почти 400 организаций, и темпы её деятельности только растут. исследователей Symantec, только за первые два месяца 2025 года группировка совершила более 40 атак, что свидетельствует о значительном увеличении их активности.
Специалисты Symantec отслеживают эту киберпреступную группировку под именем Spearwing. Как и многие другие операторы программ-вымогателей, злоумышленники используют тактику двойного вымогательства: сперва похищают данные жертвы, а затем шифруют их, чтобы усилить давление и добиться выплаты выкупа. Если жертвы отказываются платить, украденная информация публикуется на их сайте с утечками.
Всплеск атак Medusa совпал с кризисом у двух крупнейших вымогательских группировок — LockBit и BlackCat. Их недавние сбои позволили другим участникам рынка, таким как RansomHub, Play и Qilin, активизироваться и занять освободившуюся нишу. На этом фоне Medusa также стремительно наращивает количество атак, возможно, пытаясь закрепиться в числе лидеров среди вымогателей.
Рынок программ-вымогателей находится в постоянной трансформации, и на сцене появляются всё новые группировки. Только за последние месяцы зафиксированы атаки со стороны таких RaaS-операторов, как Anubis, CipherLocker, Core, Dange, LCRYX, Loches, Vgod и Xelera.
Medusa, в отличие от многих конкурентов, не ограничивается одной отраслью: она атакует как государственные и финансовые организации, так и медицинские учреждения и некоммерческие организации. Размеры выкупа варьируются от 100 тысяч до 15 миллионов долларов.
Злоумышленники используют уязвимости в публично доступных сервисах для первоначального проникновения в сети, в частности, в Microsoft Exchange Server. Также существует вероятность, что для доступа к корпоративным системам они прибегают к услугам посредников, продающих доступ ко взломанным сетям.
После проникновения в систему атакующие применяют инструменты удалённого администрирования, такие как SimpleHelp, AnyDesk и MeshAgent, чтобы сохранить контроль над заражённой сетью. Кроме того, они используют известную тактику Bring Your Own Vulnerable Driver (BYOVD), позволяющую завершать работу антивирусных решений с помощью утилиты KillAV. Последняя ранее применялась в атаках группировки BlackCat.
Одним из характерных признаков атак Medusa является использование программы PDQ Deploy. Она применяется злоумышленниками для развёртывания дополнительных инструментов и перемещения по сети жертвы. Среди других инструментов, замеченных в атаках Medusa, — Navicat для работы с базами данных, а также RoboCopy и Rclone для кражи данных.
Как отмечают специалисты Symantec, Medusa и её аффилированные группы ориентированы исключительно на финансовую выгоду и не руководствуются какими-либо идеологическими мотивами. Их жертвами становятся крупные организации из различных отраслей, что делает их серьёзной угрозой для корпоративного сектора.
Подробнее:
Хакерская группировка, стоящая за вымогательским ПО Medusa, за два года атаковала почти 400 организаций, и темпы её деятельности только растут. исследователей Symantec, только за первые два месяца 2025 года группировка совершила более 40 атак, что свидетельствует о значительном увеличении их активности.
Специалисты Symantec отслеживают эту киберпреступную группировку под именем Spearwing. Как и многие другие операторы программ-вымогателей, злоумышленники используют тактику двойного вымогательства: сперва похищают данные жертвы, а затем шифруют их, чтобы усилить давление и добиться выплаты выкупа. Если жертвы отказываются платить, украденная информация публикуется на их сайте с утечками.
Всплеск атак Medusa совпал с кризисом у двух крупнейших вымогательских группировок — LockBit и BlackCat. Их недавние сбои позволили другим участникам рынка, таким как RansomHub, Play и Qilin, активизироваться и занять освободившуюся нишу. На этом фоне Medusa также стремительно наращивает количество атак, возможно, пытаясь закрепиться в числе лидеров среди вымогателей.
Рынок программ-вымогателей находится в постоянной трансформации, и на сцене появляются всё новые группировки. Только за последние месяцы зафиксированы атаки со стороны таких RaaS-операторов, как Anubis, CipherLocker, Core, Dange, LCRYX, Loches, Vgod и Xelera.
Medusa, в отличие от многих конкурентов, не ограничивается одной отраслью: она атакует как государственные и финансовые организации, так и медицинские учреждения и некоммерческие организации. Размеры выкупа варьируются от 100 тысяч до 15 миллионов долларов.
Злоумышленники используют уязвимости в публично доступных сервисах для первоначального проникновения в сети, в частности, в Microsoft Exchange Server. Также существует вероятность, что для доступа к корпоративным системам они прибегают к услугам посредников, продающих доступ ко взломанным сетям.
После проникновения в систему атакующие применяют инструменты удалённого администрирования, такие как SimpleHelp, AnyDesk и MeshAgent, чтобы сохранить контроль над заражённой сетью. Кроме того, они используют известную тактику Bring Your Own Vulnerable Driver (BYOVD), позволяющую завершать работу антивирусных решений с помощью утилиты KillAV. Последняя ранее применялась в атаках группировки BlackCat.
Одним из характерных признаков атак Medusa является использование программы PDQ Deploy. Она применяется злоумышленниками для развёртывания дополнительных инструментов и перемещения по сети жертвы. Среди других инструментов, замеченных в атаках Medusa, — Navicat для работы с базами данных, а также RoboCopy и Rclone для кражи данных.
Как отмечают специалисты Symantec, Medusa и её аффилированные группы ориентированы исключительно на финансовую выгоду и не руководствуются какими-либо идеологическими мотивами. Их жертвами становятся крупные организации из различных отраслей, что делает их серьёзной угрозой для корпоративного сектора.
Подробнее:
