Cosa è Medusa, come funziona, come difendersi dal ransomware
Un ransomware con un idea ed un nome originali: Medusa è il nome in codice per l’attacco hacker che sta colpendo molti sistemi informatici e creando ulteriore polemica sulla sicurezza dei nostri dati.
Indice
Gli attacchi informatici sono sempre più all’ordine del giorno. Dopo la serie di spiacevoli attacchi terroristici che a cavallo dei primi anni duemila hanno colpito i paesi più sviluppati, nell’ambito della sicurezza informatica il cyberattacco è diventato un nuovo modo di mostrare alla societá le sue debolezze.
Cosa è un attacco informatico?
Con il termine Cyberattacco nel gergo informatico si indica una qualunque manovra impiegata da individui od organizzazioni che colpisca sistemi informatici, infrastrutture, reti e/o dispositivi elettronici tramite atti malevoli, finalizzati al furto, alterazione o distruzione di specifici obiettivi violando sistemi suscettibili.
Un ransomware è un tipo di malware che limita l’accesso del dispositivo che infetta, richiedendo un riscatto (ransom in inglese) da pagare per rimuovere la limitazione. Ad esempio alcune forme di ransomware bloccano il sistema e intimano all’utente di pagare per sbloccare il sistema, altri invece cifrano i file dell’utente chiedendo di pagare per riportare i file cifrati in chiaro. Medusa è proprio questo: questo ransomware che solo nell’ultimo mese ha colpito 17 target differenti.
Proprio la scorsa settimana i cybercriminali hanno attirato l’attenzione dei media per aver rivendicato un attacco alle scuole pubbliche di Minneapolis e aver condiviso in rete i dati rubati in quell’occasione.
Operazione Medusa, MedusaLocker e Medusa Blog
Sembra che il paragone con la gorgone della mitologia greca piaccia molto agli hacker. Infatti accanto ai ransomware del gruppo criminale Medusa è nato il blog che promuove il data leak, per pubblicare i dati rubati delle vittime che hanno rifiutato di pagare il riscatto.
Il MedusaLocker, in circolo dagli albori della nascita del gruppo allo stato attuale identifica un ransomware, spesso confuso con quello Medusa. L’operazione MedusaLocker è stata lanciata nel 2019 come “Ransomware-as-a-Service”, con numerosi affiliati e una nota di riscatto pubblicata in un file html. Al contrario, il ransomware Medusa è in circolazione da giugno 2021 e si contraddistingue per l’uso dell’estensione di file crittografata statica .MEDUSA e per la nota di riscatto pubblicata in un file di testo (!!!READ_ME_MEDUSA!!!.txt).
Medusa invece ha utilizzato negli anni più strategie d’infezione a partire da un file batch iniziale e un documento di testo, utilizzato per iniettare il ransomware nella memoria del sistema target attendendo l’esecuzione. In particolare, questo ransomware utilizza il codice PowerShell noto per eseguire l’iniezione riflessiva del suo codice, facendo sì che PowerShell stesso esegua l’attività dannosa. Inoltre Medusa ha la capacità di terminare oltre 280 servizi e processi Windows ed eliminare le copie shadow del volume di Windows per impedire che vengano utilizzate per recuperare i file.
Il CISA (Cybersecurity and Infrastructure Security Agency) si è interessato da tempo alla tipologia di malware ed ha fatto partire il programma #StopRansomware per raccogliere e analizzare segnalazioni e dati sull’attività illecita degli hacker, fornendo anche consigli per la risoluzione delle infezioni. Basti pensare che a questo virus si sono interessati anche l’FBI (Federal Bureau of Investigation) e il FinCEN (Financial Crimes Enforcement Network).
Gli hacker dietro il ransomware Medusa spesso ottengono l’accesso ai dispositivi delle vittime attraverso configurazioni vulnerabili del Remote Desktop Protocol (RDP). Inoltre utilizzano spesso anche campagne di posta elettronica di phishing e spam, allegando direttamente il ransomware all’e-mail, come vettori di intrusione iniziale.
I pagamenti di riscatto, sono purtroppo di importo rilevante, come CISA ha tracciato nel bollettino. Nell’eseguire Medusa Locker sul computer della vittima, portata a termine l’operazione di crittografia di tutti i file disponibili, quest’ultimo lascia, su ogni cartella, una nota di riscatto in un file di testo, con dentro tutte le istruzioni per effettuare il pagamento in Bitcoin.
Come prevenire l’attacco del ransomware Medusa
Tra le azioni di prevenzione suggerite dagli esperti dell’ente governativo che ha portato avanti le ricerche dall’inizio della diffusione di Medusa, vi è sicuramente la formazione del personale dipendente a tutti i livelli delle organizzazioni. Chiunque abbia a che fare con dispositivi informatici infatti è fondamentale. Saper riconoscere una mail di phishing e saperla gestire senza che le azioni mettano a rischio l’organizzazione è un requisito base. Così come Perseo nel bronzo tiene la testa di Medusa dopo aver sconfitto la gorgone, così potremmo tutti essere vittoriosi contro gli attacchi terroristici del XXIesimo secolo.
Potrebbe interessarti anche:
Registrati alla newsletter e diventa un tech-lover
Grazie!
Grazie! Riceverai una email per la verifica del tuo indirizzo di posta elettronica. Non sarai registrato fino a che non lo avrai confermato. Controlla anche nella cartella Spam.
