Medusa: Ransomware-as-a-Service seit 2021 aktiv – aktuell mit verstärkter Aktivität

FBI und CISA informieren über Ransomware-Bedrohung in den USA

[datensicherheit.de, 28.03.2025] Die Check Point Software Technologies Ltd. hat weitere Informationen über die „Medusa“-Ransomware veröffentlicht. Seit Februar 2025 haben die Operationen dieser Gruppe demnach zugenommen und sich mehr als 300 Opfer bei den US-Behörden gemeldet. Die betroffenen Branchen reichten von Technologie über die Fertigung bis hin zum Bildungs- und Versicherungswesen. Die CISA hat hierzu eine Liste von Empfehlungen veröffentlicht, die Sicherheitsverantwortliche bei der Erkennung unterstützen soll.

Foto: Check Point Software

Marco Eggerling zur Ransomware-Bedrohung: E-Mail-Sicherheitsmaßnahmen sollten nicht länger optional sein, denn sie sind unerlässlich geworden!

Ransomware-Hacker wenden Taktik der Doppelten Erpressung an

Der Hauptinfektionsvektor sind laut Check Point Phishing-Kampagnen, die darauf abzielen, Anmeldedaten von Benutzern zu sammeln. „Sobald diese Anmeldedaten vorliegen, erhalten die Angreifer den Zugriff auf das System und beginnen mit der Übernahme der Systeme.“

In den bekanntgewordenen Fällen hätten die Hacker die Taktik der sogenannten Doppelten Erpressung verwendet: „Dafür haben sie eine Website für Datenlecks eingerichtet, auf der die Opfer neben Countdown-Timern aufgelistet sind.“ Diese Timer gäben an, wann die gestohlenen Informationen veröffentlicht werden sollten.

Diese Website enthalte auch Informationen über spezifische Lösegeldforderungen und direkte Links zu sogenannten Crypto-Wallets. „Für Unternehmen, die bereits angegriffen werden, bietet ,Medusa’ die Möglichkeit für 10.000 US-Dollar in ,Krypto-Währung’ die Zahlungsfrist zu verlängern, droht aber auch mit dem Verkauf der Daten an Dritte.“

Tipps zum Schutz vor „Medusa“-Ransomware und ähnlichen Bedrohungen

Um sich gegen die „Medusa“-Ransomware und ähnliche Bedrohungen zu schützen, sollten Unternehmen laut Check Point die folgenden vier Maßnahmen ergreifen:

1. Fortschrittlicher Schutz vor Phishing
   Fortschrittliche E-Mail-Security-Lösungen identifizierten und blockierten automatisch verdächtige E-Mails, bevor sie Mitarbeiter erreichen und neutralisierten damit die Hauptinfektionsmethode.
2. Zero-Day-Schutz
   Einsatz KI-basierter „Engines“, um bisher unbekannte Phishing-Versuche und bösartige Anhänge zu erkennen.
3. E-Mail-Authentifizierung
   Diese helfe bei der Verifizierung der Identität des Absenders, um E-Mail-Spoofing zu verhindern (diese Taktik werde häufig bei Kampagnen zum Sammeln von Zugangsdaten angewendet).
4. „Security Awareness“
   Unternehmen sollten die Widerstandsfähigkeit der Mitarbeiter durch automatisierte Phishing-Simulationen und Schulungen zum Sicherheitsbewusstsein stärken.

Bedrohung durch Ransomware vor allem im Phishing-Kontext

Marco Eggerling, „Global CISO“ bei Check Point Software Technologies, kommentiert: „Die Erfahrung zeigt, dass in den USA aktive Malware auch früher oder später bei europäischen Unternehmen in den Systemen gefunden wird. Das Teilen der Informationen von Unternehmen mit den zuständigen Behörden und dieser wiederum mit der Öffentlichkeit ist deshalb umso wichtiger.“

Für Firmen gelte einmal mehr, dass die Bedrohung durch Ransomware vor allem eine Bedrohung durch Phishing sei. „E-Mail-Sicherheitsmaßnahmen sollten deshalb nicht länger optional sein, denn sie sind unerlässlich geworden“, betont Eggerling abschließend.

Weitere Informationen zum Thema:

CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY CISA, 12.03.2025
#StopRansomware: Medusa Ransomware

datensicherheit.de, 27.03.2025
Ransomware-Gruppe RansomHub übernimmt kriminelles Erbe von LockBit & Co. / ESET Forscher decken Verbindungen zwischen rivalisierenden Gruppen auf / Neue Angriffs-Werkzeuge im Umlauf

datensicherheit.de, 02.08.2024
Verschleierungstechnik für Spionage: Ransomware mit cyber-kriminellem Mehrfachnutzen / Ransomware-Bedrohungsakteure könnten von „ChamelGang“-Aktivitäten Kenntnis nehmen und ein weiteres Geschäftsmodell entwickeln

datensicherheit.de, 21.06.2024
Ransomware-Attacken: Druck zu mehr Transparenz wächst / Beispielhafte Folgen der jüngsten Ransomware-Attacken: 800 verschobene Operationen, geschlossene Rathäuser und ausgefallene Video-Dienste