El famoso grupo de ransomware Medusa ha estado lanzando sofisticados ataques de ransomware explotando vulnerabilidades críticas en el software FortiClient EMS de Fortinet.
La vulnerabilidad de inyección SQL, rastreada como CVE-2023-48788, permite a los atacantes ejecutar código malicioso en sistemas vulnerables y afianzarse para implementar ransomware.
“Medusa aprovecha vulnerabilidades conocidas, incluidas las vulnerabilidades de inyección SQL en Fortinet EMS, para obtener acceso a sistemas específicos. CVE-2023-48788 utiliza FortiClient EMS versiones 7.2 a 7.2 para administrar puntos finales. 2 y 7.0.1 a 7.0.10 instalados”, Bitdefender dicho.
Cumplimiento de la decodificación: lo que los CISO deben saber: únase a nuestro seminario web gratuito
Medusa, conocida por apuntar a una amplia gama de sectores, incluidos la atención médica, la manufactura y la educación, aprovechó rápidamente las vulnerabilidades de Fortinet.
Ataque de ransomware Medusa
Al enviar solicitudes web maliciosas que contienen declaraciones SQL, este grupo puede manipular el parámetro FCTUID en el encabezado de la solicitud para ejecutar comandos arbitrarios a través de la función xp_cmdshell de Microsoft SQL Server.
Después de un acceso inicial exitoso, Medusa crea un shell web en el servidor comprometido, lo que facilita la filtración de datos y la entrega de carga útil. Según Bitdefender, el grupo utiliza herramientas como bitsadmin para transferir archivos maliciosos y establecer persistencia en los sistemas de las víctimas.
La cadena de ataque de Medusa demuestra las capacidades avanzadas del grupo, particularmente en las áreas de ejecución y evasión de defensa. Después de afianzarse, Medusa aprovecha los scripts de PowerShell para ejecutar comandos, filtrar datos y ejecutar cargas útiles de ransomware. Este grupo de malware, llamado gaze.exe, elimina varios servicios y carga archivos que hacen referencia a enlaces Tor para robar datos.
Para evitar la detección, Medusa instala versiones comprometidas de herramientas legítimas de administración y monitoreo remoto (RMM), como ConnectWise y AnyDesk. Estas herramientas RMM modificadas a menudo pasan desapercibidas porque el entorno de la víctima confía en ellas.
Las organizaciones pueden adoptar un enfoque de varios niveles para defenderse de los ataques de ransomware Medusa. Implementar prácticas sólidas de administración de parches es importante para abordar rápidamente vulnerabilidades como la falla de Fortinet.
La segmentación de la red, las copias de seguridad periódicas y la capacitación de los empleados en materia de seguridad también son elementos esenciales de una estrategia de defensa integral.
A medida que Medusa continúa evolucionando y mejorando su tecnología, es imperativo que las empresas permanezcan alerta y proactivas en sus esfuerzos de ciberseguridad.
Simule escenarios de ciberataques con una plataforma de ciberseguridad todo en uno: vea el seminario web gratuito
Medusa Ransomware Exploiting Fortinet Flaw For Sophisticated Attacks
