Инфекция за $100, лечение за миллионы: вымогатели Medusa собирают дань с 300 компаний

Группировка вымогателей Medusa нанесла ущерб более 300 организациям в критически важных инфраструктурных секторах . Об этом говорится в совместном предупреждении CISA, ФБР и MS-ISAC. По данным ведомств, к февралю 2025 года группировка атаковала компании в сфере здравоохранения, образования, юриспруденции, страхования, технологий и производства.

Группа Medusa появилась ещё в январе 2021 года, но активно заявила о себе лишь в 2023-м, когда создала свой блог Medusa Blog, где выкладывает украденные данные в случае отказа жертв платить выкуп. Группировка громко напомнила о себе в марте 2023 года, атаковав государственные школы Миннеаполиса и опубликовав видео с похищенной информацией. В ноябре 2023 года Medusa выложила в сеть файлы, якобы украденные у Toyota Financial Services , после того как компания отказалась платить $8 миллионов в качестве выкупа.

Первоначально Medusa работала как закрытая группа, контролирующая все этапы атак, но со временем эволюционировала в модель Ransomware-as-a-Service (RaaS), позволяя другим киберпреступникам участвовать в атаках. Разработчики Medusa остаются ключевыми фигурами, ведя переговоры о выкупах и управляя внутренними процессами. Для первичного взлома группировка нанимает брокеров доступа (IAB) на теневых форумах, предлагая им суммы от $100 до $1 миллиона.

После проникновения хакеры отключают защитное ПО и запускают исполняемый файл, который завершает работу критически важных сервисов, удаляет теневые копии и шифрует данные с использованием AES-256. Файлы получают расширение «.medusa», а жертве оставляют записку с требованиями выкупа.

Medusa следует схеме двойного вымогательства: киберпреступники не только шифруют данные, но и угрожают их публикацией, если жертва не заплатит. В ходе расследований выяснилось, что Medusa может использовать и тройное вымогательство, требуя повторных платежей под предлогом получения «настоящего» дешифратора.

Важной проблемой остаётся путаница с названиями. Помимо вымогателей Medusa, существуют другие киберугрозы с таким же именем, включая ботнет на основе Mirai и модификацию для Android под названием TangleBot . Это часто приводит к ошибочной идентификации атак и смешению с другой активной группировкой — MedusaLocker , хотя они не связаны.

В качестве мер защиты специалисты советуют использовать многофакторную аутентификацию, регулярные обновления, мониторинг сетевой активности и резервное копирование данных. В случае атаки не рекомендуется платить выкуп — это не гарантирует восстановления данных и стимулирует новые преступления.