افزایش فعالیت باج‌افزار Medusa، تهدیدی رو به رشد در سال 2025

 در سال‌های اخیر، حملات باج‌افزاری به یکی از جدی‌ترین تهدیدات امنیتی برای سازمان‌ها تبدیل شده‌اند. در این میان، باج‌افزار Medusa با افزایش 42 درصدی حملات بین سال‌های 2023 و 2024، به یکی از خطرناک‌ترین نمونه‌های این نوع بدافزار تبدیل شده است. گزارش‌های تیم Threat Hunter سیمانتک نشان می‌دهد که فعالیت این گروه در ماه‌های ابتدایی سال 2025 تقریباً دو برابر شده است.

Medusa: باج‌افزاری با رشد سریع

باج‌افزار Medusa توسط گروهی به نام Spearwing که تحت مدل Ransomware-as-a-Service (RaaS) فعالیت می‌کند، توسعه و منتشر می‌شود. این گروه از حمله دوگانه (Double Extortion) استفاده می‌کند؛ ابتدا داده‌های قربانی را سرقت کرده و سپس سیستم‌ها را رمزنگاری می‌کنند. در صورت عدم پرداخت باج، داده‌های سرقت‌شده در سایت نشت اطلاعات این گروه منتشر می‌شوند.

آمار و ارقام نگران‌کننده

افزایش 42 درصدی حملات بین سال‌های 2023 و 2024

 دو برابر شدن حملات در ژانویه و فوریه 2025 نسبت به مدت مشابه در سال قبل

 بیش از 400 قربانی در سایت نشت اطلاعات این گروه ثبت شده‌اند

 مبالغ باج از 100,000 دلار تا 15 میلیون دلار متغیر است

روش‌های نفوذ و حمله Medusa

گروه Spearwing و همکارانش از روش‌های مختلفی برای نفوذ به شبکه‌های سازمانی استفاده می‌کنند: 

1. سوءاستفاده از آسیب‌پذیری‌های نرم‌افزاری

حملات از طریق Microsoft Exchange Server (به‌ویژه در صورت عدم نصب وصله‌های امنیتی)

 استفاده از حساب‌های معتبر به‌سرقت‌رفته (احتمالاً با کمک Initial Access Brokers) 

2. ابزارهای مورد استفاده در حملات

مهاجمان از ابزارهای قانونی به‌صورت مخرب استفاده می‌کنند که برخی از آن‌ها عبارتند از:

 غیرفعال کردن آنتی‌ویروس‌ها

3. تکنیک BYOVD (Bring Your Own Vulnerable Driver)

مهاجمان از درایورهای آسیب‌پذیر اما دارای امضای معتبر برای غیرفعال کردن نرم‌افزارهای امنیتی استفاده می‌کنند. این روش در دو سال اخیر به‌طور فزاینده‌ای در حملات باج‌افزاری مشاهده شده است.

 یک مطالعه موردی: حمله Medusa به یک سازمان درمانی

در ژانویه 2025، تیم Threat Hunter سیمانتک یک حمله باج‌افزاری Medusa به یک سازمان درمانی در آمریکا را بررسی کرد. در این حمله:

 مرحله نفوذ: روش اولیه نفوذ نامشخص بود، اما مهاجم چهار روز قبل از اجرای باج‌افزار وارد شبکه شده بود.

 پخش ابزارهای مخرب: ابزارهایی مانند SimpleHelp و Mesh Agent برای کنترل سیستم‌ها استفاده شدند.

 غیرفعال کردن آنتی‌ویروس: با استفاده از درایور POORTRY و یک درایور ناشناخته دیگر، نرم‌افزارهای امنیتی غیرفعال شدند.

 خروج داده‌ها: ابزار Rclone (با نام تغییر یافته lsp.exe) برای انتقال داده‌ها به سرورهای مهاجم استفاده شد.

 گسترش باج‌افزار: با کمک PDQ Deploy، باج‌افزار به تمام سیستم‌های شبکه توزیع شد.

 پس از رمزنگاری، فایل‌ها با پسوند .medusa علامت‌گذاری شدند و یک فایل !

READ_ME_MEDUSA!!!.txt حاوی دستورالعمل پرداخت باج ایجاد شد.

چرا Medusa یک تهدید جدی است؟

استفاده از ابزارهای قانونی: تشخیص فعالیت مخرب را دشوار می‌کند.

 حملات دوگانه: فشار مضاعف بر قربانیان برای پرداخت باج.

 حذف خودکار: باج‌افزار پس از اجرا، خود را از سیستم پاک می‌کند و ردیابی را سخت‌تر می‌نماید.

 تقاضای باج سنگین: مبالغ درخواستی تا 15 میلیون دلار گزارش شده است.

راهکارهای سیمانتک برای مقابله با Medusa

سیمانتک با ارائه راهکارهای امنیتی پیشرفته، به سازمان‌ها در مقابله با این تهدید کمک می‌کند:

✅ نصب به‌روزرسانی‌های امنیتی (به‌ویژه برای Microsoft Exchange)

✅ استفاده از راهکارهای EDR (Endpoint Detection and Response) برای شناسایی فعالیت‌های مشکوک

✅ محدود کردن دسترسی به ابزارهای RMM مانند AnyDesk و SimpleHelp

✅ مانیتورینگ مداوم ترافیک شبکه برای شناسایی داده‌برداری

✅ آموزش کارمندان برای جلوگیری از فیشینگ و حملات مهندسی اجتماعی

با کاهش فعالیت گروه‌های باج‌افزاری مانند LockBit و Noberus پس از اقدامات قانونی، Medusa به یکی از تهدیدات اصلی در فضای سایبری تبدیل شده است. سازمان‌ها باید با به‌روزرسانی سیستم‌ها، استفاده از راهکارهای امنیتی پیشرفته، و آموزش پرسنل، از خود در برابر این تهدید محافظت کنند.

 سیمانتک با ارائه آخرین فناوری‌های امنیتی، همراه مطمئنی برای مقابله با باج‌افزار Medusa و سایر تهدیدات سایبری است.