Medusa Ransomware Hits 40+ Victims in 2025, Demands $100K–$15M Ransom
- 공격 개요 및 현황
- Medusa 랜섬웨어는 2023년 1월부터 활동 시작
- 2023~2024년 사이 공격 건수 42% 증가
- 2025년 1~2월 동안 40건 이상 공격 수행
- 피해 산업: 의료, 교육, 금융, 정부기관, 제조 등
- 공격자 그룹은 Symantec에 의해 Spearwing으로 명명됨
- 공격 방식 및 주요 특징
- 이중 갈취(Double Extortion) 수법 사용
- 데이터 탈취 후 암호화로 압박
- 몸값 미지불 시, 유출 위협
- 랜섬 요구 금액: 10만~1,500만 달러
- 주요 침투 벡터
- Microsoft Exchange 등 공개 애플리케이션의 취약점 악용
- 초기 접근 브로커(Initial Access Broker) 통한 침입 추정
- RMM 툴(SimpleHelp, AnyDesk, MeshAgent) 및 PDQ Deploy로 lateral movement 수행
- KillAV 도구(BYOVD 기법)로 백신/보안 프로세스 종료
- 이중 갈취(Double Extortion) 수법 사용
- 사용 도구 및 기술
- 정당한 도구 활용
- Navicat (DB 접근 및 쿼리 실행)
- RoboCopy 및 Rclone (데이터 유출용)
- LotL (Living-off-the-Land) 기술
- PowerShell, PsExec, RDP, Advanced IP Scanner 등 활용
- PowerShell 명령 이력 삭제
- EDR 우회 위한 터널링 도구 (Ligolo, Cloudflared 등)
- Mimikatz로 메모리 내 자격 증명 탈취
- 200개 이상의 윈도우 서비스 종료 가능
- 정당한 도구 활용
- 주요 취약점 악용 사례
- CVE-2024-1709 (ConnectWise ScreenConnect)
- CVE-2023-48788 (Fortinet EMS)
- 사기적 협상 사례
- 피해자가 몸값 지급 후 추가 협상 사기 당함
- “진짜 복호화기 제공” 명목으로 재요구
- 삼중 갈취(Triple Extortion) 가능성 제기
- 피해자가 몸값 지급 후 추가 협상 사기 당함
- 보안 권고
- 민감 데이터는 에어갭 환경에 별도 보관
- 네트워크 세분화로 확산 방지
- 다중 인증(MFA) 도입 필수
- 최신 보안 패치 적용 유지
- 보안 소프트웨어 우회 탐지 및 차단 기능 강화
- CISA, FBI, MS-ISAC의 공동 권고에 따른 대응 체계 마련 필요
- 결론
- Medusa는 LockBit, BlackCat 등 주요 RaaS 붕괴 이후 공백을 채우며 공격 확대
- 고도화된 전략 및 정당 도구의 악용으로 탐지 회피 능력 매우 높음
- 조직은 대응체계 재점검 및 보안 툴의 자동화 대응 설정 필수
- 랜섬웨어 대응에서 복호화 협상 사기 등 2차 피해 가능성도 고려 필요
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 중국계 Lotus Blossom APT 그룹, Sagerunex 백도어로 아시아 지역 다중 산업 타깃 (0) | 2025.04.01 |
|---|---|
| EncryptHub 위협 행위자, 트로이화 앱과 PPI 서비스 통해 정보탈취 및 랜섬웨어 유포 (1) | 2025.04.01 |
| PrintSteal 사이버 범죄 그룹의 대규모 위조 Aadhaar 및 PAN 카드 제작 활동 분석 (0) | 2025.04.01 |
| EvilLoader, Telegram 안드로이드용 제로데이 취약점 악용 통한 악성코드 설치 캠페인 (0) | 2025.04.01 |
| 클라우드 서비스의 'Any/Any' 통신 구성 악용한 악성코드 호스팅 사례 분석 (0) | 2025.04.01 |