Medusa ransomware, sebuah varian Ransomware-as-a-Service (RaaS) yang pertama kali teridentifikasi pada Juni 2021, telah menjadi ancaman yang semakin signifikan dalam lanskap keamanan siber. Hingga Februari 2025, para pengembang dan afiliasi Medusa telah menyerang lebih dari 300 korban di berbagai sektor infrastruktur kritikal, termasuk medis, pendidikan, hukum, asuransi, teknologi, dan manufaktur.
Mengingat aktivitas yang terus berlanjut, Badan Keamanan Siber dan Infrastruktur (CISA) Amerika Serikat, bekerja sama dengan Biro Investigasi Federal (FBI) dan Pusat Analisis dan Berbagi Informasi Multi-Negara (MS-ISAC), mengeluarkan advisory bersama pada Maret 2025.
Advisory ini bertujuan untuk menyebarkan informasi mengenai taktik, teknik, dan prosedur (TTP), indikator kompromi (IOC), serta metode mitigasi yang terkait dengan aktivitas ransomware Medusa yang telah diketahui . Mengingat skala dampak Medusa dan sifat ancamannya yang terus berkembang, sangat penting bagi organisasi di Amerika Serikat untuk memahami dan menerapkan rekomendasi yang terdapat dalam advisory ini .
Medusa beroperasi sebagai varian RaaS, di mana pengembang mengontrol operasi inti seperti negosiasi tebusan, sementara afiliasi melakukan serangan. Varian ransomware ini pertama kali teridentifikasi pada Juni 2021 dan telah menargetkan berbagai sektor infrastruktur kritikal .
Sebagian besar korban Medusa berada di Amerika Serikat, Inggris Raya, Kanada, Australia, Prancis, dan Italia . Perlu ditekankan bahwa Medusa berbeda dari varian MedusaLocker yang lebih tua dan malware seluler Medusa yang tidak terkait.
Salah satu fitur utama Medusa adalah model pemerasan ganda, yang melibatkan enkripsi data korban dan ancaman untuk merilis data yang dicuri secara publik jika tebusan tidak dibayar. Selain itu, telah diamati adanya potensi pemerasan tiga kali lipat, di mana permintaan tebusan kedua diajukan setelah pembayaran awal.
Permintaan tebusan Medusa berkisar antara $100.000 hingga $15 juta, menunjukkan bahwa jumlahnya bervariasi tergantung pada ukuran dan nilai yang dirasakan dari organisasi yang ditargetkan. Grup ini mengoperasikan situs kebocoran data di jaringan Tor, di mana mereka mencantumkan korban dan penghitung waktu mundur untuk rilis data, serta mengiklankan penjualan data kepada pihak yang berkepentingan sebelum penghitung waktu berakhir.
Korban juga memiliki opsi untuk membayar biaya dalam mata uang kripto untuk memperpanjang penghitung waktu mundur. Evolusi Medusa dari operasi kelompok tertutup menjadi model berbasis afiliasi menunjukkan upaya strategis untuk meningkatkan skala operasinya dan menjangkau berbagai target yang lebih luas .
Serangan ransomware Medusa mengikuti serangkaian tahapan yang terstruktur, sering kali memanfaatkan berbagai teknik untuk mendapatkan akses, menghindari deteksi, dan akhirnya mengenkripsi data korban.
Mendapatkan Akses Awal (Initial Access – TA0001)
Para pengembang Medusa sering merekrut broker akses awal (IAB) melalui forum dunia maya dan pasar gelap . Afiliasi ini mendapatkan akses ke jaringan korban menggunakan metode umum seperti kampanye phishing untuk mencuri kredensial korban dan mengeksploitasi kerentanan perangkat lunak yang belum ditambal. Kerentanan spesifik yang dieksploitasi termasuk CVE-2024-1709 (kerentanan ScreenConnect) dan CVE-2023-48788 (kerentanan injeksi SQL Fortinet EMS) .
Pengintaian dan Pengumpulan Informasi (Discovery – TA0007)
Setelah mendapatkan pijakan awal, aktor Medusa menggunakan teknik “living off the land” (LOTL) dengan memanfaatkan alat bawaan Windows. Mereka melakukan enumerasi jaringan dan sistem menggunakan PowerShell dan Command Prompt (cmd.exe).
Selain itu, alat-alat sah seperti Advanced IP Scanner dan SoftPerfect Network Scanner digunakan untuk pengintaian jaringan.
Aktor juga memindai port yang umum digunakan seperti 21 (FTP), 22 (SSH), 23 (Telnet), 80 (HTTP), 443 (HTTPS), 1433 (basis data SQL), 3050 (basis data Firebird), 3128 (proksi web HTTP), 3306 (basis data MySQL), dan 3389 (RDP). Informasi sistem juga dikumpulkan menggunakan Windows Management Instrumentation (WMI) .
Menghindari Langkah-Langkah Keamanan (Defense Evasion – TA0005)
Aktor Medusa menggunakan teknik LOTL untuk menghindari deteksi . Mereka menggunakan certutil.exe untuk file ingress dan berbagai teknik penghindaran deteksi PowerShell, termasuk menjalankan perintah terenkripsi base64 dan manipulasi string.
Mereka juga mencoba menghapus riwayat baris perintah PowerShell untuk menutupi jejak mereka . Dalam beberapa kasus, mereka mencoba menggunakan driver yang rentan atau ditandatangani untuk menonaktifkan atau menghapus alat deteksi dan respons titik akhir (EDR).
Untuk komando dan kontrol (C2) dan penghindaran deteksi, alat seperti Ligolo (alat tunneling terbalik) dan Cloudflared (sebelumnya ArgoTunnel) .
Bergerak Melalui Jaringan (Lateral Movement and Execution – TA0008 & TA0002)
Aktor Medusa memanfaatkan berbagai perangkat lunak akses jarak jauh yang sah seperti AnyDesk, Atera, ConnectWise, eHorus, N-able, PDQ Deploy, PDQ Inventory, SimpleHelp, dan Splashtop . Mereka juga menggunakan Remote Desktop Protocol (RDP) dan PsExec untuk pergerakan lateral.
PsExec digunakan dengan kredensial yang valid untuk menyalin dan menjalankan skrip pada mesin jarak jauh dengan hak istimewa tingkat SISTEM. Skrip batch seperti openrdp.bat dieksekusi melalui PsExec untuk membuat aturan firewall untuk koneksi RDP dan WMI jarak jauh, serta memodifikasi registri untuk mengaktifkan koneksi Desktop Jarak Jauh. Selain itu, Mimikatz digunakan untuk LSASS dumping untuk mengumpulkan kredensial yang membantu pergerakan lateral lebih lanjut .
Pencurian dan Enkripsi Data (Exfiltration – TA0010 & Impact – T1486)
Data diekstrafiltrasi ke server C2 Medusa menggunakan Rclone. Enkriptor, gaze.exe, kemudian disebarkan ke seluruh jaringan menggunakan alat seperti PsExec atau PDQ Deploy, sering kali setelah menonaktifkan Windows Defender dan layanan antivirus lainnya pada target tertentu.
File yang dienkripsi ditandai dengan ekstensi file .medusa . Proses gaze.exe menghentikan semua layanan yang terkait dengan pencadangan, keamanan, basis data, komunikasi, berbagi file, dan situs web, kemudian menghapus salinan bayangan dan mengenkripsi file dengan AES-256 sebelum menjatuhkan catatan tebusan . Aktor juga secara manual mematikan dan mengenkripsi mesin virtual serta menghapus alat yang sebelumnya diinstal .
Permintaan Tebusan dan Taktik Pemerasan (Financial Theft – T1657)
Catatan tebusan dalam file !!!READ_ME_MEDUSA!!!.txt menginstruksikan korban untuk menghubungi penyerang dalam waktu 48 jam melalui obrolan langsung berbasis browser Tor atau platform perpesanan Tox.
Jika tidak ada respons, aktor Medusa akan menghubungi korban secara langsung melalui telepon atau email . Medusa mengoperasikan situs kebocoran data di jaringan Tor, mengungkapkan korban bersama dengan penghitung waktu mundur untuk rilis informasi, dan juga memposting tuntutan tebusan dan tautan langsung ke dompet mata uang kripto yang berafiliasi dengan Medusa.
Mereka juga mengiklankan penjualan data yang dicuri kepada pihak yang berminat sebelum penghitung waktu berakhir dan menawarkan opsi bagi korban untuk membayar $10.000 USD dalam mata uang kripto untuk memperpanjang penghitung waktu .
Dalam setidaknya satu kasus, skema pemerasan tiga kali lipat potensial diidentifikasi di mana korban yang membayar tebusan dihubungi oleh aktor lain yang mengklaim negosiator mencuri pembayaran awal dan menuntut pembayaran kedua .
Berikut adalah taktik dan teknik MITRE ATT&CK yang terkait dengan aktivitas Medusa ransomware:
| Tahap Serangan | Taktik MITRE ATT&CK | Teknik ID | Judul Teknik |
|---|---|---|---|
| Mendapatkan Akses Awal | Akses Awal | T1190 | Eksploitasi Aplikasi yang Menghadap Publik |
| Mendapatkan Akses Awal | Akses Awal | T1566 | Phishing |
| Pengintaian | Penemuan | T1046 | Enumerasi Jaringan |
| Pengintaian | Penemuan | T1083 | Enumerasi File dan Direktori |
| Pengintaian | Penemuan | T1047 | Windows Management Instrumentation |
| Pengintaian | Penemuan | T1105 | Transfer Alat Ingress |
| Penghindaran Pertahanan | Penghindaran Pertahanan | T1070.003 | Penghapusan Indikator: Hapus Riwayat Perintah |
| Penghindaran Pertahanan | Penghindaran Pertahanan | T1027.013 | File atau Informasi yang Diobfuskasi: File Terenkripsi/Terkodekan |
| Penghindaran Pertahanan | Penghindaran Pertahanan | T1562.001 | Gangguan Pertahanan: Nonaktifkan atau Modifikasi Alat |
| Penghindaran Pertahanan | Penghindaran Pertahanan | T1068 | BYOVD – Bawa Driver Rentan Anda Sendiri |
| Pergerakan Lateral | Pergerakan Lateral | T1021.001 | Protokol Desktop Jarak Jauh |
| Pergerakan Lateral | Pergerakan Lateral | T1569.002 | Layanan Sistem: PsExec |
| Eksekusi | Eksekusi | T1059.001 | Command and Scripting Interpreter: PowerShell |
| Eksekusi | Eksekusi | T1059.003 | Command and Scripting Interpreter: Windows Command Shell |
| Dampak | Dampak | T1486 | Data Terenkripsi untuk Dampak |
| Dampak | Dampak | T1490 | Cegah Pemulihan Sistem |
| Dampak | Dampak | T1529 | Matikan/Reboot Sistem |
| Dampak | Dampak | T1489 | Hentikan Layanan |
| Pencurian Finansial | Pencurian Finansial | T1657 | Pencurian Finansial |
Indikator Kompromi (IOC)
CISA juga menyediakan daftar Indikator Kompromi (IOC) yang terkait dengan Medusa ransomware, yang dapat membantu organisasi mendeteksi potensi infeksi. IOC ini mencakup hash file berbahaya, alamat IP server C2, dan domain yang terkait dengan aktivitas Medusa . Daftar lengkap IOC dapat ditemukan dalam advisory CISA yang lengkap .
Mitigasi
CISA, FBI, dan MS-ISAC merekomendasikan agar organisasi mengimplementasikan langkah-langkah mitigasi berikut untuk mengurangi kemungkinan dan dampak insiden ransomware Medusa :
- Terapkan rencana pemulihan yang mencakup pemeliharaan backup data offline yang teratur dan teruji.
- Wajibkan kata sandi yang kuat dan unik untuk semua akun.
- Aktifkan otentikasi multifaktor (MFA) untuk semua layanan, terutama untuk email web, VPN, dan akses sistem kritikal.
- Perbarui sistem operasi, perangkat lunak, dan firmware secara berkala, dengan memprioritaskan patch untuk kerentanan yang diketahui dieksploitasi.
- Segmentasikan jaringan untuk membatasi pergerakan lateral dan mencegah penyebaran ransomware.
- Pantau aktivitas jaringan untuk mendeteksi aktivitas abnormal dan potensi pergerakan ransomware.
- Gunakan VPN atau Jump Host untuk akses jarak jauh.
- Pantau upaya pemindaian dan akses yang tidak sah.
- Saring lalu lintas jaringan untuk mencegah akses dari sumber yang tidak dikenal atau tidak dipercaya ke layanan jarak jauh pada sistem internal.
- Audit akun pengguna dan batasi hak administratif berdasarkan prinsip least privilege.
- Tinjau pengendali domain untuk akun baru dan/atau tidak dikenal.
- Nonaktifkan aktivitas baris perintah dan scripting yang tidak perlu.
- Nonaktifkan port yang tidak digunakan.
Organisasi juga didorong untuk memvalidasi program keamanan mereka dengan menguji kontrol keamanan terhadap teknik MITRE ATT&CK yang diuraikan dalam advisory .
Pelajari lebih lanjut: #StopRansomware: Medusa Ransomware
Kesimpulan
Medusa ransomware merupakan ancaman serius yang terus berkembang. Advisory CISA ini memberikan informasi penting bagi organisasi untuk memahami taktik dan teknik yang digunakan oleh aktor Medusa dan menerapkan langkah-langkah mitigasi yang diperlukan. Dengan meningkatkan kesadaran dan mengambil tindakan pencegahan yang proaktif, organisasi dapat mengurangi risiko menjadi korban ransomware yang merusak ini.
