Вымогатель Medusa может отключать антивирусные программы: будьте бдительны

Исследователи обнаружили, что операторы вымогательского ПО Medusa используют драйвер smuol.sys, который имитирует легитимный драйвер CrowdStrike Falcon.

Medusa активно нацеливается на организации критической инфраструктуры. Операторы вымогательного ПО Medusa прибегают к атакам типа "bring-your-own-vulnerable-driver" (BYOD), обходя средства защиты от вредоносных программ, обнаружения и реагирования (EDR) при установке шифратора. Кибербезопасные исследователи Elastic Security Labs отметили, что атаки начинаются с того, что злоумышленники сбрасывают безымянный загрузчик, который развертывает на целевом узле два элемента: уязвимый драйвер и шифратор. Драйвер в данном случае – smuol.sys, и он имитирует легитимный драйвер CrowdStrike Falcon под названием CSAgent.sys. Также сообщалось, что он был подписан китайским поставщиком, которого исследователи окрестили ABYSSWORKER.

«Этот загрузчик был развернут вместе с отозванным сертификатом-подписанным драйвером от китайского поставщика, которого мы назвали ABYSSWORKER, который он устанавливает на машину жертвы и затем использует для целевого воздействия и подавления различных поставщиков EDR», – говорится в отчете Elastic Security Labs.

Использование устаревших и уязвимых драйверов для уничтожения антивирусных программ и инструментов удаления вредоносного ПО – не новость. Этот метод существует уже много лет и используется для развертывания вредоносного ПО, кражи конфиденциальной информации, распространения вирусов и многое другое.

Лучший способ минимизировать потенциальные угрозы – своевременно обновлять свое программное обеспечение. Вымогательское ПО Medusa превратилось в одного из наиболее распространенных поставщиков услуг вымогательства (RaaS). Стоя плечом к плечу с LockBit или RansomHub, Medusa взяла на себя ответственность за некоторые из крупнейших атак в последние годы, что вынудило правительство США выдать предупреждение о ее деятельности.

В середине марта 2025 года ФБР, CISA и MS-ISAC заявили, что Medusa нацелилась более чем на 300 жертв из "различных секторов критической инфраструктуры", к февралю 2025 года.

«По состоянию на февраль 2025 года разработчики Medusa и ее аффилированные лица оказали влияние более чем на 300 жертв из различных секторов критической инфраструктуры, в том числе медицинский, образовательный, юридический, страховой, технологический и производственный», – говорится в отчете. «ФБР, CISA и MS-ISAC призывают организации внедрить рекомендации в разделе «Меры» данного уведомления, чтобы снизить вероятность и степень воздействия инцидентов с вымогательским ПО Medusa».