Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Medusa Ransomware rivendica l’attacco a Harry Perkins Institute

Alessio Stefan : 5 Luglio 2024 08:08

Nella giornata del 3 Luglio 2024, L’istituto di ricerca Australiano Harry Perkins è stato vittima di un attacco Ransomware rivendicato da MEDUSA nel loro DLS ufficiale. Più di 4.6 TeraByte di registrazioni delle CCTV all’interno dell’edificio principale sono i dati in ostaggio. Un pagamento di 500.000$ per la cancellazione dei dati e altrettanti per poterli scaricare, inoltre con 10.000$ la vittima può aggiunger 24 ore di tempo al countdown partito da 9 giorni.

La natura dei dati attaccati (registrazioni video) è inusuale rispetto agli altri attacchi ransomware, la privacy dei 172 dipendenti e collaboratori è a rischio insieme ai movimenti interni all’azienda.

Alla scrittura di questo articolo non si hanno dichiarazioni dall’azienda ma si aspetta una conferma direttamente dalla vittima in quanto non si sa se l’istituto stesso o un ente terzo responsabile della videosorveglianza è stato attaccato.

MEDUSA RaaS

Scoperto nel 2019, MEDUSA è un RaaS che fin dagli inizi della sua carriera ha attaccato organizzazioni di education, healthcare e industrie principalmente negli USA. Il loro DLS chiamato Medusa Blog è stato introdotto solo nel 2023 mostrando una organizzazione a doppia estorsione con i 3 classici “post-pentest services” – tempo aggiuntivo, cancellazione dei dati o download completo dei dati encrypted.


Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber

«Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi». Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca. Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare. Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura.

Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]



Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


Secondo una nota del progetto #StopRansomware della CISA il gruppo sfrutta in maniera massiccia configurazioni RDP vulnerabili e il phishing con allegato il malware che tramite Social Engineering viene fatto eseguire direttamente dalla vittima. Nell’ultimo anno si ipotizza l’utilizzo di credential brokers per ottenere un initial access tramite il riutilizzo di credenziali da parte degli utenti.

Unit42 ha eseguito un censimento delle vittime di Medusa divisa per settore e nazione. L’healthcare si posiziona al 4 posto e l’italia occupa la stessa posizione nella leaderboard delle nazioni.

Lo sguardo di MEDUSA

Il malware usato dal RaaS (MedusaLocker) risulta essere complesso, articolato e funzionale grazie a diverse tecniche usate per evadere difese e divincolarsi all’interno delle reti interni delle vittime.

Tra le technice di Initial Acess abbiamo l’utilizzo di server Windows IIS precedentemente compromessi che permettono, tramite l’utility di Windows bitsadmin, di scaricare un file ZIP contenente il software ConnectWise utilizzato per l’accesso remoto da parte degli attaccanti. Esistono varianti sul file scaricato e anche alternative ai server IIS come Microsoft Exchange Server, i threat actor sembrano preferire l’utilizzo di software microsoft per poter bypassare processi di monitoring camuffando il traffico maligno come lecito. Oltre a ciò l’exploit di vulnerabilità conosciute è un’altro metodo usato dal gruppo, specialmente per interfacce come web applications.

Il software Safeengine Shielden sembra essere la norma all’interno delle varianti del malware, utilizzato per rilasciare driver kernel level per differenti prodotti di security. Tramite il software è possibile offuscare e proteggere l’entrypoint dei driver che vengono caricati tramite il loro loader.

Il ruolo dei driver è di terminare i processi presi da una lista inclusa all’interno del codice (hardcoded) tramite il codice IOCTL 0x222094 e 0x222184.

Inoltre prima di eseguire il codice di attacco, il binario restarta la macchina in Safe Mode prevenendo l’esecuzione di security tool che non si avviano tramite questa modalità di accensione.

Privilege Escalation & Defense Evasion

Per ottenere i privilegi come NT AUTHORITY\SYSTEM viene effettuata una CMSTP UAC bypass, un metodo comune con altri malware non solo ransomware.

Per infettare gli altri host presenti nella rete vengono utilizzati diversi metodi in base al tipo di variante utilizzata, si va dai semplici Script Powershell all’inserimento di webshell. In alcuni sample è stato individuato una versione portatile di NetScan e PsExec, questa combinazione permettere di ampliare le feature di NetScan permettendo configurazione personalizzate attuabili direttamente dal ransomware operator

Versione personalizzata di NetScan offerta da Medusa

Per il resto MedusaLocker non è distante dai suoi colleghi. Funzionalità come decryption di stringe, encryption dei file, eliminazione delle shadow copies e la creazione di ransomware note sono eseguite in maniera similare agli altri ransomware. La lista delle file extensions è molto densa e suggerisce un numero di varianti non indifferente permettendo un’alta adattabilità in base all’ambiente nella quale il malware viene eseguito.

Conclusioni

MEDUSA sembra stia cercando di crearsi un’immagine solida, oltre al DLS un canale telegram dove vengono pubblicati sample o intere sezioni di file rubati è emerso nell’ultimo anno. La loro frequenza di attacchi sta aumentando sempre di più lato healthcare, creando un evidente problema a questi servizi se non opportunamente controllati. Il core del malware è soffisticato e permette di generare danni a catena grazie ai tool costum forniti ai loro affiliates, le loro varianti ne aumentano la pericolosità anche in reti controllate da blue teams. Infine, nonostante gli attacchi siano concentrati in USA, il loro interesse su asset italiani non è da sottovalutare.

Consigliamo di visitare la pagine relativa a MEDUSA della CISA [1] che fornisce IOC aggiornati compresi IP address ed indirizzi email usati per phishing ed initial access. Un alto numero di file hashes è stato pubblicato in una ricerca di Cisco Talos.

Invitiamo anche a monitorare i movimenti del gruppo che oltre a diventare più aggressivo non ha nessun codice etico, qualsiasi azienda o istituzione può essere vittima di MEDUSA. Il monitoraggio deve essere eseguito anche sui data leak essendo che il RaaS utilizza sempre di più credential brokers per infiltrarsi nelle reti prese di mira.

Alessio Stefan
Membro del gruppo di Red Hot Cyber Dark Lab. Studente magistrale di AI & Cybersecurity e CTF player con la passione per l’ethical hacking che lo accompagna sin da giovane età. Trascorre le sue giornate immerso nello studio e scoperta di nuovi metodi di attacco con la giusta dose di pratica. Convinto che l’hacking sia una cultura ne applica i principi non solo nel mondo digitale ma anche alla vita quotidiana nell’attesa di trasformare la sua dedizione in carriera.

Lista degli articoli

Articoli in evidenza

Vibe Coding fuori controllo. L’IA Genera codice vulnerabile, ma tutti se ne fregano
Di Redazione RHC - 02/08/2025

L’intelligenza artificiale sta diventando sempre più un assistente per i programmatori, ma uno studio di Veracode ha dimostrato che la praticità comporta un rischio per la sicurezza. ...

Exploit RCE 0day/0click su iOS in vendita. Scopriamo il mercato delle armi cibernetiche per lo spionaggio
Di Redazione RHC - 01/08/2025

Un annuncio apparso su un forum online, datato 26 luglio 2025, ha catturato la nostra attenzione: un utente di nome “Bucad” pubblicizza la vendita di un “iOS RCE Exploit 0day | Ze...

Lovense scrive a Red Hot Cyber. Il CEO manda dei chiarimenti sulle vulnerabilità sicurezza
Di Redazione RHC - 01/08/2025

In relazione al nostro precedente articolo relativo ai bug di sicurezza rilevati sui dispositivi Lovesense (azienda leader leader nel settore dei dispositivi tecnologici per l’intimità), l...

Che cos’è il vibe coding? Scopriamo la nuova frontiera della Programmazione
Di Diego Corbi - 31/07/2025

“Ho bisogno di un sistema per gestire gli eventi della mia chiesa: volontari, iscrizioni, organizzazione degli eventi per la comunità”. Due settimane dopo aver scritto questo prompt...

Nokia sotto attacco: su DarkForums spunta in vendita il database di quasi 100.000 dipendenti
Di Redazione RHC - 31/07/2025

Un utente con il nickname Tsar0Byte ha pubblicato su DarkForums, uno dei forum underground più noti nell’ambiente cybercrime, un annuncio scioccante: la presunta compromissione di dati sen...