Medusa 랜섬웨어 위협 분석 보고서 (2025년 3월 기준)

#StopRansomware: Medusa Ransomware

#StopRansomware: Medusa Ransomware | CISA

 

• 개요
  • Medusa는 2021년 6월에 처음 등장한 랜섬웨어 서비스(RaaS) 형태의 위협 행위자
  • 2025년 2월까지 의료, 교육, 법률, 보험, 기술, 제조 등 300개 이상의 기관 피해 보고
  • 이중 갈취(Double Extortion) 모델 사용: 데이터 암호화 + 유출 위협 병행
  • MedusaLocker 또는 Medusa 모바일 악성코드와는 무관
• 초기 침투 수법 (Initial Access)
  • 공격자 모집: 포럼과 마켓플레이스에서 Initial Access Broker 모집
  • 피싱 캠페인을 통한 자격 증명 탈취
  • 공개 취약점 악용
    • CVE-2024-1709 (ScreenConnect, 인증 우회)
    • CVE-2023-48788 (Fortinet EMS, SQL 삽입)
• 내부 정찰 및 권한 상승 (Discovery & Privilege Escalation)
  • Living-Off-the-Land(LOTL) 기법 활용: PowerShell, cmd.exe 등 기본 도구 사용
  • 네트워크 및 시스템 탐색 도구: Advanced IP Scanner, SoftPerfect
  • 스캔 대상 포트: FTP(21), SSH(22), Telnet(23), HTTP(80), SQL(1433), MySQL(3306), RDP(3389) 등
  • PowerShell 및 certutil을 이용한 우회 기반 명령 실행
  • Mimikatz 사용으로 LSASS 메모리 덤프 후 자격 증명 수집
• 탐지 회피 및 지속성 유지 (Defense Evasion & Persistence)
  • PowerShell 명령어 히스토리 삭제
  • Base64 인코딩 및 Gzip 압축된 PowerShell 페이로드 실행
  • Signed Driver 또는 취약 드라이버를 통한 EDR 제거 시도
  • 도메인 계정 생성 및 관리자 권한 계정 추가로 지속성 확보
• 측면 이동 및 실행 (Lateral Movement & Execution)
  • 원격 접근 도구 사용: AnyDesk, Atera, ConnectWise, Splashtop, PDQ 등
  • PsExec 및 RDP를 통해 lateral movement 및 원격 명령 실행
  • 방화벽 및 레지스트리 조작으로 RDP, WMI 허용 설정
• 데이터 유출 및 암호화 (Exfiltration & Encryption)
  • Rclone을 통해 C2 서버로 데이터 유출
  • gaze.exe 악성 암호화 도구로 시스템 전반 파일 암호화
  • .medusa 확장자 부여, 백업 및 보안 관련 서비스 중지 후 Shadow Copy 삭제
  • AES-256 암호화 사용
• 협박 및 금전 요구 (Extortion)
  • Tor 기반 .onion 사이트 운영으로 피해자 데이터 유출 예고 및 협상 진행
  • 연락 수단: Tox, Protonmail, Onionmail, Cock.li 등
  • 3중 갈취(Triple Extortion) 사례 확인: 협상 담당자가 금액 가로채기 후 별도 협박
• 탐지 지표 및 IOC
  • 실행 배치 파일: openrdp.bat
  • 랜섬노트: !!!READ_ME_MEDUSA!!!.txt
  • 이메일 주소: medusa.support@onionmail.org 외 다수
  • 네트워크 기반: 포트 443의 Tor, HTTPS 트래픽 활용
• 보안 권고
  • 운영체제 및 소프트웨어 보안 패치 필수 적용
  • 네트워크 분리로 감염 확산 차단
  • 명령어 실행 및 스크립트 제한, 관리 권한 최소화
  • EDR 및 네트워크 기반 이상 행위 탐지 구성
  • 정기 백업 및 복구 테스트 수행, 백업은 오프라인 및 암호화된 상태로 유지
  • 공격 전술 대응 훈련: MITRE ATT&CK 기반 보안 테스트 수행