🎯 Cél: túlélni 2025 legagresszívebb kiberfenyegetését
A Medusa ransomware 2025-re a világ egyik legpusztítóbb zsarolóvírus-kampányává vált.
Az elmúlt évhez képest megduplázódott a támadások száma, különösen az egészségügyben, gyártásban, közigazgatásban és technológiai szektorban.
A Medusa nem „egyszerű” titkosító malware:
➡️ adatlopás
➡️ nyilvános szivárogtatás (leaksite / TOR)
➡️ média-nyomásgyakorlás
➡️ többlépcsős zsarolás
Ezek kombinációja hetekre megbéníthat szervezeteket, és visszafordíthatatlan reputációs károkat okozhat.
A Medusa Ransomware Response Playbook segít abban, hogy felderítsd, elszigeteld és visszaállítsd a rendszereidet – és ne az első támadás legyen az utolsó.
⚠️ Miért különösen veszélyes a Medusa?
Taktikai profil (TTP – MITRE ATT&CK alapján)
| Taktika | Technika | Leírás |
|---|---|---|
| Initial Access | T1133, T1190 | Nyitott RDP, VPN exploit, unpatched Citrix/Exchange/ScreenConnect |
| Execution | T1059, T1106 | PowerShell, WMI, LOLBins („living-off-the-land”) |
| Persistence | T1547, T1053 | Registry Run Keys, Scheduled Tasks |
| Privilege Escalation | T1068 | Kernel exploit, stolen credentials |
| Defense Evasion | T1070, T1027 | Event log törlés, bináris obfuszkáció |
| Credential Access | T1003 | Mimikatz, LSASS dump |
| Exfiltration | T1041 | TOR / Mega.nz / rclone |
| Impact | T1486 | AES-256 + RSA kombinált titkosítás |
A csoport Ransomware-as-a-Service (RaaS) modellben működik,
ahol a „leányvállalatok” (affiliates) különböző régiókat céloznak.
Jellemző C2-infrastruktúra: TOR, ICMP-alapú beaconing, DNS-tunneling.
🛡️ Első órák: Incidens-válasz Playbook
1️⃣ FELISMERÉS
- Eseményjelek:
- .medusa vagy .enc fájlkiterjesztés
- „YOUR_FILES_ARE_ENCRYPTED.txt” vagy hasonló README
- Lassulás, ismeretlen PowerShell-folyamatok, hálózati kapcsolat TOR/megaupload/anonfiles felé
- SIEM-/EDR-riasztások:
- tömeges fájl-hozzáférés
- Volume Shadow Copy törlés (
vssadmin delete shadows /all /quiet) - processz-fájl kapcsolat:
powershell.exe → vssadmin.exe → cmd.exe → cipher.exe
2️⃣ IZOLÁLÁS
- Azonnal hálózati leválasztás (LAN/Wi-Fi, VPN, SMB).
- Ne kapcsold ki az érintett gépet – először memória-dump és hálózati forgalom mentése.
- DNS és proxy logok mentése (indikátorokhoz).
3️⃣ ELEMZÉS
- IOC-gyűjtés: fájlnevek, hash, IP, domain, C2 (TOR URL).
- Fertőzött végpontok listázása: AD-ban / EDR-ben azonosított hostname-ek.
- Forenzikus parancsok:
Get-WinEvent -LogName Security | ?{$_.Message -match "vssadmin"} Get-Process | ?{$_.Path -match "AppData"} Get-ItemProperty HKLM:\Software\Microsoft\Windows\CurrentVersion\Run netstat -ano | findstr :9050
4️⃣ KÖZLÉS ÉS JELENTÉS
- Incidens-csapat / DPO azonnali riasztása.
- GDPR-érintettség esetén 72 órán belül NAIH bejelentés kötelező.
- Nemzeti Kibervédelmi Intézet (NKI-CERT) értesítése javasolt.
5️⃣ HELYREÁLLÍTÁS
- Offline, ellenőrzött mentésből történjen.
- Rendszer-újratelepítés > visszaállítás, nem egyszerű decryptor használat.
- Jelszó-reset minden admin fiókra (AD, O365, hálózati eszközök).
- Rebuild domain controller, ha kompromittált.
🔍 IoC minták (2025-ös verzió)
| Típus | Érték | Megjegyzés |
|---|---|---|
| Fájlkiterjesztés | .medusa / .enc_med | fő titkosítási végződés |
| Fájlnevek | READ_ME_NOW.txt, Medusa_Locker.txt | váltságdíj jegyzet |
| Fájl hash | 7e2b1cf1e8e0a9f0c43c8a91e1fa9835 | dropper (SHA256) |
| TOR leak site | medusa5pcoez5fbr.onion | aktív 2025 Q3 |
| C2 domain | cdn-download-secure[.]com, storage-mirror[.]top | proxy C2 |
| Registry | HKCU\Software\Microsoft\Windows\CurrentVersion\Run\sysmon32 | perzisztencia |
🔒 Védekezés és helyreállítási ellenőrzőlista
Infrastruktúra
- EDR/AV: valós idejű monitorozás (Defender for Endpoint, SentinelOne stb.)
- ASR szabályok aktívak (
Block credential stealing,Block office macro) - AppLocker / WDAC engedélyezve
- Network segmentation: DC, fájlszerver, user-zóna különválasztva
- RDP, VPN MFA kötelező
Biztonsági mentés
- Napi offline backup (immutable storage)
- Heti air-gapped másolat
- Restore-teszt 30 naponta
Felhasználók
- Phishing-tréning frissítve
- Gyanús e-mailek bejelentési csatornája működik
- „Ransom awareness” kommunikáció (belső e-mail, poszter, Teams-üzenet)
Dokumentáció
- IR-runbook elérhető offline
- Forenzikus eszközlista: FTK, KAPE, Velociraptor
- CERT/NKI/NIS2-eseményjelentés sablon előkészítve
🧩 Medusa Hardening Tippek
Patch management:
- Prioritás: Fortinet, VMware, Citrix, Confluence, ScreenConnect.
AD védelem:
- Tier-modell (Tier 0-1-2), LAPS, Admin tiering, admin-RDP tiltás.
Exchange / OWA:
- EM Service aktív, Extended Protection bekapcsolva, TLS 1.2 minimum.
SIEM/EDR:
- Figyelmeztetések a
vssadmin,bcdedit,wbadmin,cipher.exefolyamatokra.
YARA/Sigma példák:
title: Medusa File Creation
detection:
selection:
TargetFilename|endswith: ['.medusa', '.enc_med']
condition: selection
🚨 30-perces gyorsteszt (ransomware readiness)
✅ 1. Offline mentés kipróbálva az elmúlt 30 napban
✅ 2. Admin fiókok MFA-val védettek
✅ 3. Alkalmazottak phishing-teszten <10% áldozati arány
✅ 4. Központi naplógyűjtés észlelte az előző próbariasztást
✅ 5. Rendszergazdák tudják, hova kell jelenteni egy „ransom note”-ot
Ha bármelyik „nem”, azonnal felkészültségi hiányosság.
📊 Kiegészítő technikai tények (2025-ös trendek)
- Átlagos váltságdíj: 1,3–3,5 millió USD
- Kifizetési arány: 34%
- Átlagos leállás: 12,6 nap
- Leak site aktivitás: 50+ új áldozat havonta
- Támadási ablak: tipikusan péntek 23:00 – vasárnap 04:00 (lokális idő)
🧩 Kulcsüzenet a vezetésnek
A Medusa nem csak technológiai fenyegetés — stratégiai reputációs kockázat.
A támadók kommunikációt, sajtót és közösségi médiát is bevetnek a nyomásgyakorláshoz.
Gyors, transzparens, hiteles kommunikáció = kevesebb reputációs kár.
