Medusa Team incrementa il numero delle rivendicazioni

Medusa Team è stato oggetto di un avviso congiunto di FBI, agenzia CISA e Multi-State Information Sharing and Analysis Center (MS-ISAC) americani che ne hanno sottolineato la pericolosità.

Il gruppo, che opera come Ransomware-as-a-Service, sarebbe attivo almeno dal 2019. Le rivendicazioni pubblicate sul suo sito dei leak da metà febbraio 2023 a metà marzo 2024 sono oltre 380, con una media quasi algebrica di circa una al giorno e circa 31 al mese.

Il fatto che preoccupa in particolare è l’aumento esponenziale di queste attività, che fra 2023 e 2024 hanno segnato un incremento del 42% e, fra il primo bimestre del 2024 e quello del 2025, di quasi il 100%.

Il settore maggiormente impattato da Medusa Team è quello dei servizi professionali. Seguono health&pharma, formazione, rivendite, tecnologico e manufatturiero. A breve distanza, finance/insurance e trasporti/logistica/marittimo.

Il settore maggiormente impattato da Medusa Team è quello dei servizi professionali. Seguono health&pharma, formazione, rivendite, tecnologico e manufatturiero. A breve distanza, finance/insurance e trasporti/logistica/marittimo.

L’area più colpita è il Nord America, con oltre 200 rivendicazioni contro realtà degli USA e circa 30 del Canada. Segue il Regno Unito, con quasi 30 rivendicazioni. In Italia, quarta per numero di rivendicazioni, si segnalano una dozzina di target che comprendono un’autorità portuale, aziende dei servizi professionali, della manifattura e tecnologiche e un operatore privato della formazione.

Le richieste di riscatto variano dai $100.000 ai 15 milioni. L’FBI stima che gli affiliati a Medusa abbiano ricevuto ricompense fra $100 e 1 milione di dollari. 

Le violazioni avvengono spesso mediante la tecnica Bring Your Own Vulnerable Driver (BYOVD). Inoltre, vengono sfruttate credenziali acquistate dai broker (IAB) e vulnerabilità dei sistemi target, come CVE-2024-1709 del popolare strumento di accesso remoto ScreenConnect e CVE-2023-48788 di prodotti Fortinet.

Gli ultimi attacchi hanno impattato soprattutto gli USA. Fra i target, il provider di soluzioni logistiche Kable Product Services, Heartland Health Center, G&S Electric LLC e Lithium Americas Corp.

Focus On è una serie di approfondimenti su temi e dati analizzati dal team di esperti del Cyber Intelligence Operations Center di TS-Way.

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Produce informazioni su una vasta gamma di minacce cibernetiche e eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.

Scopri di più sui nostri servizi di Threat Intelligence