Приключения вымогателя Medusa: как устаревшие драйверы ставятся на службу злу

Вымогатель Medusa способен отключать инструменты антивирусной защиты, так что будьте на чеку. Операторы вируса Medusa занимаются старомодными атаками "принеси свой уязвимый драйвер" (BYOD), обойти защиту конечных точек, средства обнаружения и реагирования (EDR), пока устанавливают шифровальщик. Исследователи кибербезопасности из Elastic Security Labs отметили, что атаки начинаются с того, что атакующие запускают некий загрузчик, который разворачивает две вещи на целевой конечной точке: уязвимый драйвер и шифровальщик. Говорится, что драйвер имеет название smuol.sys и имитирует легитимный драйвер CrowdStrike Falcon под названием CSAgent.sys. Также сообщается, что он был подписан китайским поставщиком, которого исследователи назвали ABYSSWORKER.

Следите за своим кредитным рейтингом с TransUnion начиная с 29,95 долларов США в месяц. TransUnion – это служба мониторинга кредита, которая помогает вам отслеживать финансовое состояние. Она предлагает уведомления в реальном времени, отслеживание кредитного рейтинга и защиту от кражи личности, чтобы вы никогда не пропустили важные изменения. Вы получите возможность пользоваться настраиваемым онлайн-интерфейсом с четкой информацией о вашем кредитном профиле. Также бизнес может воспользоваться продвинутыми инструментами оценки рисков от TransUnion.

"Этот загрузчик был развернут вместе с драйвером, которому был отозван сертификат и который был подписан китайским поставщиком, которого мы назвали ABYSSWORKER, который устанавливается на машине жертвы и затем используется для нацеливания и отключения различных поставщиков EDR," - говорится в отчете Elastic Security Labs. Использование устаревших и уязвимых драйверов для отключения антивирусных и удаляющих вредоносные программы инструментов – это не новое дело. Эта практика существует уже много лет и используется для развертывания вредоносного ПО, кражи конфиденциальной информации, распространения вирусов и многого другого. Лучший способ снижения потенциальных угроз – это держать программное обеспечение обновленным.

Вымогатель Medusa превратился в одного из самых распространенных провайдеров Ransomware-as-a-service (RaaS). Стоя плечом к плечу с LockBit, или RansomHub, Medusa взял на себя ответственность за некоторые из крупнейших атак в последние годы, побуждая правительство США выпустить предупреждение о его действиях. В середине марта 2025 года ФБР, CISA и MS-ISAC сообщили, что Medusa нацелился на более 300 жертв из "разнообразных критически важных инфраструктурных секторов" к февралю 2025 года. "На февраль 2025 года разработчики и аффилированные лица Medusa затронули более 300 жертв из различных критически важных инфраструктурных секторов, включая медицинский, образовательный, юридический, страховой, технологический и производственный," - сообщается в отчете. "ФБР, CISA и MS-ISAC призывают организации реализовать рекомендации из раздела Мер по смягчению последствий этого уведомления, чтобы снизить вероятность и последствия инцидентов с вымогателем Medusa."