Medusaランサムウェア作戦は、公開開示される数日前に新しい脆弱性を利用しており、Microsoftの新しい研究によると述べられています。
Microsoftのサイバーセキュリティ専門家は、ミシシッピ州の最大の病院とニュージャージー州北部の郡に対する破壊的な攻撃への責任を最近主張したグループのアクティビティ調査を公開しました。
Microsoftは、Medusaアクターの効果的さに懸念を示し、グループが初期アクセスからデータ流出とランサムウェア展開まで24時間以内に移行できる複数のケースを引用しました。
Medusaアクターはまた、脆弱性開示と広範なパッチ導入の間のウィンドウ中に、脆弱なウェブに面したシステムをターゲットにすることを目的としています。
「脅威アクターの高い運用テンポと露出した周辺資産の識別における習熟度は成功することが証明されており、最近の侵入はオーストラリア、イギリス、およびアメリカのヘルスケア組織、および教育、専門サービス、金融セクターに大きな影響を与えています」とMicrosoftは説明しました。
インシデント対応者は、Medusaハッカーがシステムに侵入し、アクセスを保持するためにすぐに新しいユーザーアカウントを作成するのを見てきました。
多くの攻撃は24時間しか続きませんでしたが、Medusaインシデントは通常5~6日間実行され、ConnectWise ScreenConnect、AnyDesk、SimpleHelpなどの正当なリモート管理ツールに大きく依存しています。
Microsoftのスポークスマンは、Recorded Future Newsに、インシデントはランサムウェア攻撃者がほぼ即座に脆弱性を兵器化する成長傾向の一部であると述べました。
Microsoftブログは、2つの最近のバグ—SmarterMailのCVE-2026-23760とGoAnywhere Managed File TransferのCVE-2025-10035—を公開開示の1週間前に脆弱性を利用するMedusaアクターの例として強調しています。
サイバーセキュリティおよびインフラストラクチャセキュリティ庁(CISA)は以前、CVE-2026-23760とCVE-2025-10035がランサムウェア攻撃で使用されていることを確認しました。Microsoftは、ランサムウェア攻撃者が新しい脆弱性の特定にますます上達するにつれて、周辺ネットワーク攻撃から防御するのに遅すぎる前に組織がデジタルフットプリントを理解することが重要になるだろうと述べました。
専門家は、独立国家共同体のターゲット回避、ロシア語フォーラムアクティビティ、および運用ツールでのキリル文字の使用により、Medusa作戦がロシアを拠点としていると考えています。
2021年に登場したこのグループは、米国全体のヘルスケア施設と地方自治体政府をターゲットにする意思を繰り返し示しています。
グループは最近、登場しました2021年に、繰り返しながらヘルスケア施設をターゲットにし、米国全体の市町村政府に対する意思を示しています。
グループは最近、攻撃を主張しましたニュージャージー州のパセイク郡とミシシッピ大学医療センター(UMMC)に対して。病院はFBIと国土安全保障省の助けにより3月2日に完全に再開しました。
Symantecのサイバーセキュリティ専門家も最近、この国の軍内に位置する有名な北朝鮮のハッキング作戦であるラザルスのメンバーがMedusaランサムウェアを展開するのを見たと述べました。
翻訳元: https://therecord.media/medusa-ransomware-group-zero-days-microsoft
