Предупреждение о кибербезопасности: зафиксировано 300 атак с использованием вымогательского ПО "Медуза"

Вариант вымогательства под названием "Medusa" заразил более 300 жертв в секторах критической инфраструктуры (включая медицинские), согласно совместному предупреждению от CISA, FBI и Многоштатного центра анализа и обмена информацией.

Это предупреждение напоминает нам, что Medusa – это глобальная операция, которая привлекает сторонних аффилированных лиц для установки вымогательского ПО и ведения переговоров с жертвами, отмечает Register. Даже организации, которые имеют хорошие режимы восстановления от вымогательства, то есть им не нужно расшифровывать зашифрованные данные, поскольку у них есть хорошие резервные копии и планы резервного варианта, могут рассмотреть возможность оплаты, чтобы предотвратить публикацию украденных данных, учитывая неприятные последствия, которые следуют за утечками информации.

Агенты Medusa также устанавливают срок уплаты выкупа жертвам и предоставляют обратный отсчет времени, который ясно показывает, когда украденная информация будет опубликована в Интернете. Если жертвы платят 10 000 долларов в криптовалюте, преступники переносят крайний срок на 24 часа вперед.

В предупреждении говорится, что один агент Medusa сделал шаг дальше. Расследования FBI выявили, что после уплаты выкупа одна жертва была связана с другим агентом Medusa, который утверждал, что переговорщик украл уже уплаченную сумму выкупа, – говорится в предупреждении. Затем этот отдельный агент требовал половину оплаты снова, чтобы предоставить 'истинный дешифратор', говорится в предупреждении, описывая этот инцидент как потенциально указывающий на тройную схему вымогательства.

Безопасность группы в своем предупреждении подчеркивает, что они "не поощряют оплату выкупа, поскольку оплата не гарантирует восстановление файлов жертвы. Кроме того, оплата может также embolden противников для атаки на дополнительные организации..." (Но Независимо от того, решили ли вы или ваша организация заплатить выкуп, FBI, CISA и MS-ISAC настоятельно рекомендуют вам незамедлительно сообщить о случаях вымогательства...).

Кроме обновления программного обеспечения и операционных систем, предупреждение делает следующие рекомендации для организаций:

• Требовать VPN (или хосты перескоков) для удаленного доступа к сети
• Блокировать удаленный доступ из неизвестных/недоверенных источников и отключать неиспользуемые порты
• Сегментировать сети, чтобы предотвратить распространение вымогательского ПО
• Использовать инструмент мониторинга сети для обнаружения и расследования аномальной активности – включая боковое перемещение (с использованием инструментов обнаружения и реагирования на конечные точки). Журналировать весь сетевой трафик и отслеживать новые и/или нераспознанные учетные записи.
• Отключать командную строку и разрешения на скриптинг

рассмотреть возможность отказа от частой смены паролей, поскольку это может ослабить безопасность.