מדוזה בחורף: מתקפות כופרה פגעו במאות ארגונים

ה-FBI, יחד עם CISA, הסוכנות האמריקנית לאבטחת סייבר ותשתיות, ו-MS-ISAC, המרכז לשיתוף מידע ולניתוח רב מדינתי, פרסמו באחרונה אזהרה מפני מתקפת הונאה מסוכנת, שפועלת במתכונת של מתקפת כופרה.

באזהרה שפורסמה הודיעו פקידי הממשל כי מתקפת כופרה כשירות בשם מדוזה (Medusa), שפועלת מאז 2021, פגעה באחרונה במאות קורבנות. חברי מדוזה משתמשים בקמפייני פישינג כדרך העיקרית שלהם לגניבת פרטי הקורבנות.

מפתחי הנוזקה ושותפיהם – המכונים "שחקני מדוזה" – משתמשים במודל סחיטה כפולה, שבו הם מצפינים את נתוני הקורבנות ומאיימים לפרסם אותם בפומבי – אם הם לא ישלמו דמי כופר. לשם כך, מדוזה מפעילה אתר לדליפת מידע, שמציג את הקורבנות לצד מונה שעורך ספירה לאחור – עד לשחרור הנתונים.

"דרישות לתשלום דמי כופר מפורסמות באתר, עם קישורים ישירים לארנקי קריפטו שקשורים למדוזה", נכתב בהודעה. "בשלב זה, מדוזה מפרסמת במקביל את מכירת הנתונים למתעניינים לפני סיום הספירה לאחור. הקורבנות יכולים לשלם 10,000 דולר במטבעות קריפטוגרפיים כדי להאריך את הספירה ולהוסיף עוד יום לטיימר הספירה לאחור".

הנפגעים: יותר מ-300 ארגונים בתעשיות שונות

מאז החודש שעבר, מפתחי מדוזה ושותפיה פגעו ביותר מ-300 קורבנות בארגונים מתעשיות שונות, בהן מגזרי הרפואה, החינוך, המשפט, הביטוח, הטכנולוגיה והייצור, מסרה CISA.

ההתרעה מהווה חלק מיוזמת המאבק בכופרות StopRansomware# של CISA, שמסמנת גרסאות של כופרות ושחקני איומים, כמו גם את הטקטיקות, הטכניקות והנהלים הנצפים שלהם.

מכופרה סגורה למודל שותפים

במקור, מדוזה פעלה כגרסת כופרה סגורה, שבה כל הפיתוח והפעולות הנלוות נשלטו על ידי אותה קבוצה של שחקני איומים בסייבר. מאז היא "התפתחה" ועברה לפעול במודל שותפים, שבו מפתחים ושותפיהם עובדים יחד ומשתמשים במודל סחיטה כפולה.

במהלך המתקפות, שחקני מדוזה משתמשים במגוון רחב של תוכנות לגיטימיות, כדי לנוע לרוחב מערכות ה-IT של הארגון הקורבן, כולל כלי גישה מרחוק כמו AnyDesk, אטרה ו-ConnectWise. לפי הסוכנויות, שחקני מדוזה בדרך כלל מנצלים טכניקות של "לחיות מחוץ לאדמה" (LotL) כדי להתחמק מזיהוי, וכן בכמה טכניקות PowerShell שכוללות "מורכבות הולכת וגוברת".

צוות צייד האיומים של סימנטק ציין כי פעילות מדוזה זינקה ב-42% ב-2024 בהשוואה ל-2023, וכי היא המשיכה לעלות בינואר ובפברואר השנה. החוקרים הדגישו את השימוש הנרחב שההאקרים חברי הקבוצה עושים הן במנהלי התקנים לגיטימיים והן בכלים זדוניים שפותחו בהתאמה אישית, כמו AVKill ו-POORTRY – כדי לעקוף או להשבית תוכנות אבטחה.

סוכנויות הממשל ציינו שלמרות הזהות בשמות הכופרה והקבוצה, חברי מדוזה לא קשורים לקבוצת MedusaLocker, שעוסקת גם היא במתקפות כופרה.

כך או כך, על מנת להתגונן מפני מתקפות הכופרה, גורמים רשמיים המליצו לתקן מערכות הפעלה, תוכנות וקושחה, ובנוסף להשתמש באימות רב גורמי עבור כל השירותים, כמו מייל ו-VPN. מומחים המליצו גם להשתמש בסיסמאות ארוכות, והזהירו מפני שינויי סיסמאות חוזרים ונשנים לעתים קרובות – כיוון שהם יכולים להחליש את האבטחה.