Medusa Group

Técnicas (MITRE ATT&CK)57

FuenteMITRE ATT&CK

Análisis Vexday

O Medusa Group atua desde pelo menos 2021, tendo iniciado suas operações como um grupo fechado de ransomware antes de evoluir para um modelo de Ransomware-as-a-Service (RaaS); alguns relatos indicam que determinados ataques ainda são conduzidos diretamente pelos desenvolvedores centrais do malware. O grupo é também referenciado publicamente pelos aliases "Spearwing" e "Medusa Actors". Em suas operações, emprega técnicas de living-off-the-land, fazendo uso frequente de ferramentas publicamente disponíveis e softwares comuns de gerenciamento remoto, além de adotar táticas de dupla extorsão mediante exfiltração de dados. O grupo possui 57 técnicas documentadas no MITRE ATT&CK (identificador G1051) e 4 CVEs atribuídas como parte de seu repertório de exploração.

Técnicas (MITRE ATT&CK) 57

Cómo opera el grupo, mapeado por la matriz MITRE ATT&CK y organizado por las fases de un ataque.

Preparación de recursos

Web Services Social Media Accounts Email Accounts Tool Upload Tool Acquire Access

Acceso inicial

Exploit Public-Facing Application

Ejecución

Windows Management Instrumentation PowerShell Windows Command Shell Software Deployment Tools Native API Component Object Model Service Execution

Persistencia

Domain Account Web Shell Windows Service

Escalada de privilegios

Bypass User Account Control

Acceso a credenciales

LSASS Memory NTDS

Descubrimiento

System Network Configuration Discovery Remote System Discovery System Owner/User Discovery Network Service Discovery Process Discovery Domain Groups System Information Discovery File and Directory Discovery Local Account Network Share Discovery Security Software Discovery Device Driver Discovery

Movimiento lateral

Remote Desktop Protocol Lateral Tool Transfer

Comando y control

Web Protocols Multi-hop Proxy Ingress Tool Transfer Remote Access Tools Asymmetric Cryptography

Exfiltración

Exfiltration to Cloud Storage

Impacto

Data Encrypted for Impact Service Stop Inhibit System Recovery System Shutdown/Reboot Financial Theft

defense-impairment

Modify Registry Code Signing Disable or Modify Tools Disable or Modify System Firewall Prevent Command History Logging

stealth

Software Packing Command Obfuscation Clear Command History File Deletion Valid Accounts MMC Hidden Window

Vulnerabilidades explotadas 4

CVEs que este grupo es conocido por explotar, según MITRE ATT&CK. Ordenadas por gravedad real.

CVE-2024-1709CRITICALEPSS 100%KEV CVE-2014-7169CRITICALEPSS 100%KEV CVE-2023-48788CRITICALEPSS 98%KEV CVE-2016-6662EPSS 68%

El grupo Medusa Group usa técnicas y explota fallas reales. El Pentest Autónomo con IA de TrueHacking simula esos ataques en tu infraestructura y aporta más seguridad a tu aplicación.

Conocer el Pentest Autónomo con IA →