Oggi, il nome Medusa è associato ad una gang di cyber criminali che operano nel campo della cyber sicurezza, ed è diventato sinonimo di attacchi informatici mirati a rubare dati alle aziende e richiedere riscatti piuttosto onerosi.
Il ransomware in questione è in grado di interrompere più di 280 servizi e processi di Windows che potrebbero impedire la crittografia dei file, tra cui server di posta, server di database e software di sicurezza. Inoltre, Medusa elimina le copie Shadow del volume di Windows per impedire che vengano utilizzate per recuperare i file. Una volta che i file sono stati crittografati, assumono l’estensione .MEDUSA e viene creata una nota di riscatto contenente informazioni utili di contatto, come il canale Telegram, l’indirizzo del sito per la negoziazione e l’indirizzo e-mail.
Una volta che il malware infetta un sistema, richiede un pagamento in Bitcoin come riscatto per il ripristino dei dati. Il valore del riscatto può variare, ma in genere è di diverse migliaia di dollari. Tuttavia, non vi è alcuna garanzia che i dati verranno effettivamente ripristinati anche se la vittima paga il riscatto richiesto.
Ma non è tutto: per impedire il ripristino dei file dai backup, Medusa elimina anche i file archiviati localmente associati a programmi di backup, inclusi quelli dei dischi rigidi virtuali. Inoltre, come spesso accade in casi di attacchi ransomware mirati alle aziende, Medusa ha un sito di fuga dei dati chiamato “Medusa Blog”, dove i dati delle vittime che si rifiutano di pagare il riscatto vengono pubblicati.
Prima di pubblicare i dati sottratti a un’azienda, i cybercriminali le offrono diverse opzioni per riscattarli dietro il pagamento di una somma di denaro mentre un conto alla rovescia ricorda alle vittime il tempo che hanno a disposizione prima che i dati diventino di pubblico dominio.
Le autorità di sicurezza informatica raccomandano di proteggere i propri dati dall’attacco del ransomware, mantenendo aggiornati i software utilizzati, eseguendo regolarmente backup dei dati importanti ed evitando di cliccare su link o allegati sospetti in e-mail o messaggi. In caso di attacco del ransomware, le vittime sono incoraggiate a non pagare il riscatto e a contattare immediatamente un professionista della sicurezza informatica per cercare di ripristinare i propri dati.
(S.F.)
