A Medusa zsarolóvírus-csoport az utóbbi időszak egyik leggyorsabban működő kiberfenyegetésévé vált. A csoport képes a frissen azonosított sérülékenységek gyors kihasználására, majd akár néhány napon belül a teljes körű kompromittációra. Ez a működési tempó különösen jelentős kockázatot jelent a kritikus infrastruktúrák számára.
A ransomware-as-a-service (RaaS) modellben működő Medusa 2021 június óta aktív, és 2025 elejéig több mint 300 szervezetet támadott meg. Az incidensek jelentős része az egészségügyi, a pénzügyi és az oktatási szektort, valamint a magas szakértelmet igénylő szolgáltatásokat nyújtó szervezeteket érintette. A támadások földrajzi szempontból elsősorban az Egyesült Államokra, az Egyesült Királyságra és Ausztráliára koncentrálódtak.
A csoport működésének egyik meghatározó eleme a kettős zsarolási stratégia. Ennek során az áldozatok adatait nem csupán titkosítják, hanem azt megelőzően el is lopják. Ennek következtében a váltságdíjjal kapcsolatos kockázat nem korlátozódik a működés leállására, hanem magában foglalja az adatok nyilvánosságra kerülésének lehetőségét és az ebből eredő további következményeket is.
A támadási lánc jellemzően adathalász kampányokkal vagy javítatlan sérülékenységek kihasználásával indul. A Microsoft által Storm-1175 néven azonosított operátorok különösen gyorsan haladnak a támadási fázisok között, a kezdeti hozzáférést követően gyakran órákon, legfeljebb néhány napon belül eljutnak az adatszivárogtatásig és a titkosításig.
A támadók nemcsak ismert sérülékenységeket használnak ki, hanem nulladik napi (zero-day) hibákat is. Az elmúlt években legalább 16 sérülékenységet használtak ki többek között a Microsoft Exchange, a Papercut, az Ivanti Connect Secure és Policy Secure, a ConnectWise ScreenConnect, a JetBrains TeamCity, a SimpleHelp, az SAP NetWeaver, a CrushFTP, a GoAnywhere MFT, a SmarterMail és a BeyondTrust rendszereiben.
Gyakori taktikájuk a több sérülékenység láncba kötve történő kihasználása a távoli kódfuttatás (RCE) elérése érdekében, különös tekintettel az internet felől közvetlenül elérhető rendszerekre. A kezdeti behatolást követően a támadók gyorsan perzisztenciát alakítanak ki, laterális mozgást hajtanak végre, és hitelesítési adatokat gyűjtenek. A támadók úgynevezett „living-off-the-land” eszközöket alkalmaznak, például PowerShellt vagy PsExecet. Emellett távoli hozzáférési megoldásokat és exfiltrációs eszközöket is használnak.
A szakértői elemzések szerint a Medusa sikerének kulcsa a műveleti sebesség. A szervezetek gyakran nem képesek megfelelő gyorsasággal reagálni az újonnan publikált sérülékenységekre, ami különösen kritikus olyan környezetekben, ahol a szolgáltatáskiesés súlyos következményekkel jár.
A hatékony védekezés alapja a folyamatos monitorozás, a külső és belső rendszerek kitettségének minimalizálása, valamint a sérülékenységek kockázatalapú priorizálása és gyors javítása. A támadási felület csökkentése és az incidenskezelési képességek fejlesztése kulcsfontosságú a hasonló, nagy sebességgel működő fenyegetések elleni védekezésben.