Medusa Group

Técnicas (MITRE ATT&CK)57

FonteMITRE ATT&CK

Análise Vexday

O Medusa Group atua desde pelo menos 2021, tendo iniciado suas operações como um grupo fechado de ransomware antes de evoluir para um modelo de Ransomware-as-a-Service (RaaS); alguns relatos indicam que determinados ataques ainda são conduzidos diretamente pelos desenvolvedores centrais do malware. O grupo é também referenciado publicamente pelos aliases "Spearwing" e "Medusa Actors". Em suas operações, emprega técnicas de living-off-the-land, fazendo uso frequente de ferramentas publicamente disponíveis e softwares comuns de gerenciamento remoto, além de adotar táticas de dupla extorsão mediante exfiltração de dados. O grupo possui 57 técnicas documentadas no MITRE ATT&CK (identificador G1051) e 4 CVEs atribuídas como parte de seu repertório de exploração.

Técnicas (MITRE ATT&CK) 57

Como o grupo opera, mapeado pela matriz MITRE ATT&CK e organizado pelas fases de um ataque.

Preparação de recursos

Web Services Social Media Accounts Email Accounts Tool Upload Tool Acquire Access

Acesso inicial

Exploit Public-Facing Application

Execução

Windows Management Instrumentation PowerShell Windows Command Shell Software Deployment Tools Native API Component Object Model Service Execution

Persistência

Domain Account Web Shell Windows Service

Escalada de privilégio

Bypass User Account Control

Acesso a credenciais

LSASS Memory NTDS

Descoberta

System Network Configuration Discovery Remote System Discovery System Owner/User Discovery Network Service Discovery Process Discovery Domain Groups System Information Discovery File and Directory Discovery Local Account Network Share Discovery Security Software Discovery Device Driver Discovery

Movimento lateral

Remote Desktop Protocol Lateral Tool Transfer

Comando e controle

Web Protocols Multi-hop Proxy Ingress Tool Transfer Remote Access Tools Asymmetric Cryptography

Exfiltração

Exfiltration to Cloud Storage

Impacto

Data Encrypted for Impact Service Stop Inhibit System Recovery System Shutdown/Reboot Financial Theft

defense-impairment

Modify Registry Code Signing Disable or Modify Tools Disable or Modify System Firewall Prevent Command History Logging

stealth

Software Packing Command Obfuscation Clear Command History File Deletion Valid Accounts MMC Hidden Window

Vulnerabilidades exploradas 4

CVEs que este grupo é conhecido por explorar, segundo o MITRE ATT&CK. Ordenadas por gravidade real.

CVE-2024-1709CRITICALEPSS 100%KEV CVE-2014-7169CRITICALEPSS 100%KEV CVE-2023-48788CRITICALEPSS 98%KEV CVE-2016-6662EPSS 68%

O grupo Medusa Group usa técnicas e explora falhas reais. O Pentest Autônomo com IA da TrueHacking simula esses ataques na sua infraestrutura e traz mais segurança para sua aplicação.

Conhecer o Pentest Autônomo com IA →