Der türkische Spitzenfussballverein Trabzonspor Kulübü wurde Opfer einer Ransomware-Attacke. Der Journalist Daniel Schurter diskutiert für das News-Portal Watson mit Marc Ruef. Im Interview wird auf die möglichen Hintergründe der kriminellen Gruppierung Medusa eingegangen, in welchem geopolitischen Kontext sie einzuordnen sind und wie sich ihr Modus Operandi gestaltet. Der Artikel kann online gelesen werden.

Zusammenfassung unserer Analyse:

• Leider herrscht seit jeher Wildwuchs in Bezug auf die Namenskonventionen von Akteuren, Ransomware und Malware. Unterschiedliche Sicherheitsfirmen und Forscher vergeben verschiedene Namen, Gruppierungen überlappen sich manchmal, benennen sich um oder sind nicht eindeutig identifizierbar.
• Die Ransomware-Gruppe Medusa und die Ransomware MedusaLocker scheinen nichts miteinander zu tun zu haben.
• Bei der Ransomware-Gang Medusa handelt es sich voraussichtlich um eine Gruppierung mit russischen Hintergrund.
• Sie gelten in Bezug auf erfolgreiche Kompromittierungen als eine der effizientesten und erfolgreichsten Gruppierungen.
• Sie sind dafür bekannt, dass sie ungehindert und konsequent Bildungsinstitute angreifen. Sie verstossen damit bewusst gegen einen Kodex, den sich viele Ransomware-Gruppierungen selber auferlegt haben.
• Der klassische Einbruch geschieht durch eine fehlerhafte Konfiguration in RDP. Hierbei handelt es sich um einen Standard-Dienst für Fernzugriffe auf Windows-Systemen. Das Vorgehen ist auf technischer Ebene durch Forscher gut analysiert und dokumentiert worden.

Links

• https://www.cyborgsecurity.com/threats/emerging-threats/medusa/
• https://www.watson.ch
• https://www.watson.ch/!949217864

Tags