ФБР опублікувало попередження про зростання загрози з боку програм-вимагачів, визначивши групу програм-вимагачів Medusa як значний ризик для фізичних та юридичних осіб. У співпраці з CISA ФБР рекомендувало основні заходи для зменшення цієї загрози, наголошуючи на необхідності негайних дій для захисту критично важливих систем. Користувачі Gmail, Outlook і VPN повинні серйозно поставитися до цього попередження, щоб захистити свої дані.
Вимагач Medusa становить серйозну небезпеку
Medusa – це угруповання програм-вимагачів (RaaS), що діє щонайменше з червня 2021 року і націлене на понад 300 жертв, зокрема, на об’єкти критичної інфраструктури. Угруповання використовує методи соціальної інженерії та експлуатує незаплановані вразливості програмного забезпечення для проникнення в системи.
Нещодавні розслідування ФБР щодо діяльності “Медузи”, проведені в лютому 2025 року, надали ключову інформацію про операції угруповання. Агентство зібрало інформацію про їхню тактику, методи, процедури та індикатори компрометації, які тепер включені до спільної рекомендації з кібербезпеки під назвою AA25-071A, опублікованої 12 березня.
Експерти підкреслюють витонченість методів “Медузи”. Тім Морріс, головний радник з питань безпеки в Tanium, зазначив, що назва групи є доречною, враховуючи її “багатогранний і далекосяжний вплив на різні галузі”. Він підкреслив, що Medusa досягає успіху в “експлуатації, наполегливості, бічному русі та приховуванні”, що робить необхідним для організацій впровадження надійної, комплексної стратегії безпеки.
Джон Міллер, генеральний директор і співзасновник Halcyon, описав Medusa як високостратегічну організацію, яка “зосереджується на отриманні важелів впливу на установи” Він зазначив, що об’єкти критичної інфраструктури є першочерговими цілями, оскільки вони не можуть дозволити собі жодного простою. Зловмисники “Медузи” користуються вразливостями в системі безпеки, щоб отримати доступ, викрасти дані та ініціювати атаки з вимогою викупу.
“Потрапивши в мережу, – пояснив Міллер, – Medusa використовує передові технології, щоб завдати максимальної шкоди” Група використовує команди PowerShell, закодовані в base64, щоб уникнути виявлення, і такі інструменти, як Mimikatz, для збору інформації для входу в систему. Вони також використовують інструменти віддаленого доступу, такі як AnyDesk і ConnectWise, для поширення в мережах.
ФБР оприлюднило термінові рекомендації щодо пом’якшення наслідків
ФБР оприлюднило термінові рекомендації щодо боротьби зі зростаючою загрозою, яку становить програма-вимагач Medusa. Вони закликають всі організації діяти швидко, щоб мінімізувати ризик стати мішенню. Основна рекомендація – увімкнути двофакторну автентифікацію (2FA) для всіх сервісів, зокрема, вебпошти (наприклад, Gmail і Outlook) і VPN. ФБР закликає зробити це “негайно” Залишайтеся в безпеці, залишайтеся в безпеці.
Додаткові важливі поради для забезпечення безпеки включають
- Використовуйте довгі, надійні паролі для всіх облікових записів і уникайте їх частої зміни, оскільки це може поставити під загрозу безпеку.
- Зберігайте кілька резервних копій важливих даних у різних безпечних місцях, забезпечуючи їхню відокремленість і захищеність.
- Постійно оновлюйте свої системи, програмне забезпечення та мікропрограми, надаючи пріоритет усуненню відомих вразливостей.
- Використовуйте інструменти моніторингу для спостереження за мережею на предмет незвичної активності або ознак розповсюдження програм-вимагачів.
- Забороняйте доступ до невідомих джерел, які намагаються сканувати або отримати доступ до ваших систем.
- Обмежте доступ адміністратора та регулярно перевіряйте ці облікові записи.
- Вимкніть непотрібні інструменти командного рядка та сценаріїв.
- Закрийте всі невикористовувані мережеві порти, щоб зменшити ймовірність атак.
Експерти критикують рекомендації ФБР
Хоча поради ФБР щодо кібербезпеки є корисними, деякі експерти вважають, що вони не враховують важливий аспект: навчання. Роджер Граймс, фахівець з безпеки компанії KnowBe4, зазначає, що більшість інцидентів з вимогами викупу відбуваються через людські помилки. Навчити людей розпізнавати загрози так само важливо, як і впроваджувати технічні рішення. Базові дії, такі як уникнення спроб фішингу, можуть значно підвищити рівень безпеки. Будьте в курсі, будьте в безпеці.
“Медуза поширюється за допомогою соціальної інженерії, але ФБР не пропонує навчання з питань безпеки як основний засіб захисту”, – сказав Граймс. Дослідження KnowBe4 вказує на те, що соціальна інженерія є причиною від 70% до 90% успішних хакерських атак. Попри те, що ФБР визнає соціальну інженерію основною тактикою атак, його офіційні поради не містять конкретних рекомендацій щодо підвищення пильності користувачів.
Граймз порівняв це упущення з тим, що злочинці часто вдираються в будинки через вікна, але при цьому пропонують лише посилити охорону дверей. Він стверджує, що нехтування людськими слабкостями дозволяє зловмисникам, які вимагають викуп, продовжувати свою діяльність. “Хакери, мабуть, сміються”, – підсумував він.
Заклик до комплексних стратегій кібербезпеки
Загроза вірусу-здирника Medusa підкреслює необхідність надійних заходів кібербезпеки. Такі інструменти, як 2FA, регулярні оновлення та моніторинг мережі є важливими. Однак інформування співробітників про ризики є не менш важливим, хоча про це часто забувають. Працівники повинні навчитися розпізнавати фішинг та інші тактики, щоб запобігати атакам на випередження. З розвитком груп, що вимагають викуп, повинні розвиватися і наші засоби захисту. Останнє попередження ФБР слугує нагадуванням про те, що як окремі особи, так і організації повинні вживати заходів для захисту своїх систем від зростаючих кіберзагроз. Нехай це буде просто: будьте пильними, залишайтеся в безпеці.
