Unit 42, de onderzoekstak van cybersecuritybedrijf Palo Alto Networks, ziet een sterke professionalisering van de ransomewaregroep Medusa. In 2023 maakten deze cybercriminelen 74 slachtoffers, vooral in Europa en de VS. Het hackerscollectief lanceerde recent ook een blog op het dark web, waar slachtoffers onder druk worden gezet om overstag te gaan en te betalen.
Op de website van de hackergroep valt op cynische wijze de naam van het slachtoffer, het gevraagde losgeld, de resterende tijd en het aantal bezoekers te lezen. Deze afpersingstechniek is helaas niet ongewoon en wordt steeds vaker toegepast om de druk op de getroffen bedrijven op te voeren, aldus de onderzoekers.
Betalende diensten
De slachtoffers kunnen sinds kort ook ‘kiezen’ uit een van de extra betalende diensten. Tegen een fikse som kunnen ze de betalingstermijn bijvoorbeeld uitstellen of hun gegevens laten verwijderen van de website. Dat laatste kost gemiddeld tienduizend dollar. Medusa nam ook een Telegram-kanaal in gebruik waar vertrouwelijke bestanden van de bedrijven publiekelijk worden gedeeld met de volgers.
Living-off-the-land
Medusa zag wellicht het licht aan het eind van 2022. Als berucht ransomware-as-a-service collectief klom het snel in de rangen van de cybercriminele onderwereld, voornamelijk door slachtoffers te maken onder Windows-gebruikers.
De groep is befaamd om zijn zogheten living-off-the-land technieken. Bij LOTL-aanvallen gebruiken criminelen bestaande programma’s (zoals wachtwoordbeheerders) op de toestellen van de slachtoffers om aanvallen uit te voeren, in plaats van externe kwaadaardige software te laten installeren. Dit type aanval is dan ook veel moeilijker te detecteren. Cybercriminelen kunnen langs deze weg maanden ongemerkt op de toestellen van de slachtoffers vertoeven.
Fout opgemerkt of meer nieuws? Meld het hier