Operazione Medusa è l’ultimo ransomware che sta acquisendo popolarità nel 2023. Le aziende, soprattutto, vittime di richieste di riscatto, sono nel mirino della cyber minaccia la cui “specialità” è, per l’appunto, la pubblicazione dei dati di quelle che si rifiutano di piegarsi al ricatto.
“Non deve sorprendere che le nuove gang ransomware risultino essere tra le più attive”, commenta Pierguido Iezzi, Ceo di Swascan. Ecco come proteggersi.
Indice degli argomenti
Medusa: il nuovo ransomware minaccia le imprese
Da non confondersi con MedusaLocker, il nuovo Medusa ha iniziato la sua attività a giugno 2021, mietendo però all’inizio poche vittime. Ma nel 2023 il gang ransomware ha aumentato l’attività, lanciando Medusa Blog, il sito che promuove il data leak, per pubblicare i dati rubati delle vittime che hanno rifiutato, giustamente, di pagare il riscatto.
“Solo nell’ultimo mese, Medusa ha colpito 17 target differenti come rilevato dal Cyber Threat Intelligence Team di Swascan – attraverso lo strumento Threatland”, mette in guardia Iezzi.
Dall’analisi del codice del malware per Windows, condotta da Bleeping Computer, sono emerse le funzionalità di Medusa, a partire dalla capacità di terminare oltre 280 servizi e processi Windows. Compresi quelli legati a mail, database, antivirus e backup. Inoltre, elimina le copie di volume shadow per ostacolare la possibilità di recuperare i file. Per la cifratura sfrutta una combinazione di AES a 256 bit e RSA a 2.048 bit.
“D’altronde oggi è sempre più facile imbattersi in nuovi attori o collettivi che mutano di settimana in settimana”, spiega Iezzi: “L’unica eccezione sembra essere Lockbit, quasi immune al cambiamento e sempre in cima alla classifica delle gang più attive”.
Medusa Blog fa il conto alla rovescia e invita a pagare una cifra aggiuntiva per allungare il countdown.
L’effetto Idra
“Il cybercrime si è democratizzato grazie all’effetto Idra [la leggendaria creatura mitologica dotata di potere rigenerativo, n.d.r.]”, avverte Iezzi: “da ogni gang sconfitta ne sorgono molte altre, spesso più spregiudicate e criminalmente meno professionali, con tutti i rischi che ne conseguono. Questo si traduce in un pericolo trasversale per tutti i settori dell’economia, ma in particolare le PMI. Nel 2022, Swascan stessa aveva rilevato, nell’ultimo Report Ransomware Q4 2022, come l’80% degli attacchi ransomware avessero colpito imprese con fatturato inferiore a 250 milioni euro e che il 51% delle realtà finite nel mirino delle gang avesse meno di 100 dipendenti”, conclude l’esperto di cyber security.
Come proteggersi
Non bisogna mai pagare il riscatto, perché i cyber criminali non offrono alcuna garanzia. Tuttavia, uno dei rischi più temibili di un attacco ransomware è la perdita o il danneggiamento dei dati. Occorre adottare misure preventive contro gli attacchi ransomware, a partire da solide strategie di backup e ripristino, per salvaguardare i dati (meglio se cifrati) e le operazioni aziendali. Infatti cifrando i dati, non si rischiano i data leak.
Inoltre occorre un efficace piano di backup e ripristino, che permetta alle aziende di ripristinare i dati velocemente e in maniera efficiente, senza pagare il riscatto.
