メデューサランサムウェアの検出:FBI、CISA、およびパートナーが重要インフラを狙ったランサムウェア開発者とその提携者による攻撃の増加を警告
目次:
Sophosによれば、 ランサムウェア の回復コストが2024年に2.73百万ドルに急騰し、2023年と比較して500%の上昇を示し、サイバー攻撃の経済的負担の増大を強調しています。FBI、CISA、MS-ISACは最近、2025年2月時点で重要なインフラセクターにおいて300人以上の被害者に影響を与えたMedusaランサムウェアについての共同勧告を発表しました。特に、Medusaランサムウェアは MedusaLocker やMedusaモバイルマルウェアのバージョンとは異なると研究されています。
Medusaランサムウェアを検知する
ランサムウェアの作戦は進化を続けており、より高度化し、大企業から中小企業まであらゆる規模の組織をターゲットにしています。最新の AA25-071A勧告 において、FBI、CISA、MS-ISACはMedusaランサムウェアの脅威の拡大を強調しており、Medusaを背後で操るグループがすでに複数の業界分野において数百の被害者をターゲットにしていることを明らかにしています。あなたの組織に対する潜在的攻撃を初期段階で検知するために、 SOC Prime Platform はMedusaランサムウェアのオペレーターに関連するTTPsに取り組む専用ルールコレクションを提供しています。以下の「 Explore Detections 」ボタンをクリックして、このルールコレクションにアクセスしてください。これは行動可能なCTIで強化され、脅威検出とハンティングを高度化する完全な製品スイートを伴っています。
すべてのルールは様々なSIEM、EDR、データレイクソリューションに互換性があり、 MITRE ATT&CKフレームワークにマッピングされています。また、各ルールには詳細なメタデータが含まれており、 脅威インテル の参照、攻撃タイムライン、トリアージ推奨事項などが含まれています。
任意で、サイバー防御者は「Medusaランサムウェア」と「AA25-071A」タグを使用して、脅威検出マーケットプレイスでコンテンツをフィルタリングできます。また、より幅広い検出ルールにアクセスするには、「ランサムウェア」タグを使用して、世界的なランサムウェア攻撃をカバーする検出ルールの範囲を広げることができます。
また、セキュリティ専門家は、 Uncoder AIを使用することもできます。これは、エージェントを使用しない脅威に基づく検出エンジニアリングのための非エージェントAIであり、Medusaランサムウェアに関するAA25-071A勧告で提供された攻撃指標を瞬時にハントするために利用できます。Uncoder AIはIOCのパッケージ化を行い、サイバー防御者がIOCを解釈し、カスタマイズされたハンティングクエリを生成することを容易にします。これらのクエリは、好みのSIEMまたはEDRシステムにシームレスに統合され、即座に実行されます。
Medusaランサムウェア活動解析
2025年3月12日、FBI、CISA、その他のパートナーはMedusaランサムウェアに関する新たなサイバーセキュリティアラートを発表し、長期的な研究を通じて特定されたTTPsとIOCsを共有しました。Medusaの開発者と提携者は、すでに医療、教育、法律、保険、技術、製造を含む重要なセクターで300人以上の被害者に影響を与えています。 AA25-071A on Medusa ransomware, sharing TTPs and IOCs identified through long-term research into Medusa actors’ offensive operations. Medusa developers and affiliates have already impacted over 300 victims across critical sectors, including healthcare, education, legal, insurance, technology, and manufacturing.
Medusa RaaSのバリアントは2021年から活動しています。当初は単一の脅威グループによって管理されていた閉鎖的なオペレーションでしたが、その後も開発者が身代金交渉などの主要機能を維持しつつ、アフィリエイトモデルを採用しました。Medusa役者はダブル恐喝の戦術を使い、被害者のデータを暗号化し、身代金が支払われない場合はそれを漏洩すると脅します。
Medusaの維持者と提携者は、ハッカーフォーラムを通じて初期アクセスブローカーを一般的に募集し、10万ドルから100万ドルの報酬と独占的なパートナーシップの機会を提供しています。彼らは フィッシング を利用して資格情報を盗み、未パッチの脆弱性としては CVE-2024-1709 やCVE-2023-48788を利用します。さらに、LOTL技術を利用し、Advanced IP ScannerやSoftPerfect Network Scannerのようなツールを使用してネットワークとシステムの列挙を行います。
検出回避のため、Medusa役者はLOTL技術を使用し、certutil.exeを使ってファイルの取り込みを行い、様々なPowerShellオブスクエーション手法(base64エンコーディング、文字列スライス、gzip圧縮を含む)を活用します。彼らはPowerShell履歴を削除して足跡を隠し、powerfun.ps1を使用して逆もしくはバインドシェルをTLS経由で実行できるステージャースクリプトを有効にします。セキュリティ保護を回避するために、Medusaハッカーは脆弱なまたは署名付きドライバーを展開してEDRソリューションを無効化します。逆トンネリングにはLigolo、セキュアなリモートアクセスにはCloudflaredを使用します。ラテラルムーブメントはAnyDesk、Atera、ConnectWise、RDP、PsExecなどのリモートアクセスツールを介して行います。PsExecはopenrdp.batのようなバッチスクリプトを実行し、RDPアクセス、WMI接続、リモートデスクトップの接続を許可するためのレジストリ設定を変更します。
資格情報の収集について言えば、Medusaの役者はLSASSダンピングに使用される人気のある Mimikatz ユーティリティに依存しています。データの抽出はRcloneを介して行われ、Sysinternals PsExec、PDQ Deploy、BigFixがgaze.exe暗号化ツールの拡散に利用されます。ランサムウェアはセキュリティサービスを無効にし、バックアップを削除し、AES-256でファイルを暗号化した後に身代金メモを残します。仮想マシンは手動でシャットダウンされ、暗号化され、役者はツールを消して足跡を隠します。
Medusa RaaSはダブル恐喝を採用し、復号化とデータ漏洩防止のために支払いを要求します。被害者は48時間以内にTorベースのライブチャットまたはTox経由で応答しなければなりません。さもなければ、Medusa役者が直接連絡を取るかもしれません。注目すべきは、セキュリティ研究者はトリプル恐喝の可能性も示唆していることで、ある被害者は支払いの後で別のMedusa役者から、交渉者が身代金を盗んだとして、本物の復号化ツールのためにさらに支払うよう要求されたと、連絡を受けたことです。
Medusaランサムウェアによる事故に対する積極的な防御策として、組織は複数の場所に安全で区画化されたバックアップを実施し、強力なパスワードとMFA認証をし、定期的にシステムを更新し、重要なパッチを優先すること、サイバーハイジーンを改善するための他のベストプラクティスと共に推奨されています。ランサムウェア攻撃のリスクが絶えず増大し、攻撃面が広がる中で、組織はサイバー脅威を凌駕するために積極的な防御戦略を実装するよう努力しています。 集団サイバー防御のためのSOC Prime Platform は、AI駆動の検出エンジニアリング、リアルタイム脅威インテリジェンス、先進的脅威検出、自動化された脅威ハンティング機能によって、攻撃者の先を行くための先進技術をセキュリティチームに提供します。