Bis Februar 2025 hat die Medusa-Ransomware-Gruppe über 300 Organisationen in kritischen Infrastruktursektoren weltweit angegriffen. Sicherheitsforscher haben bestätigt, dass Energieversorger, Gesundheitseinrichtungen und öffentliche Dienste besonders stark betroffen sind, was zu erheblichen Störungen führte.
Medusa setzt auf das Doppel-Erpressungsmodell: Daten werden exfiltriert, bevor Systeme verschlüsselt werden, und bei Nichtzahlung der Lösegeldforderung droht die Veröffentlichung der gestohlenen Informationen. Der Angriff nutzt aktuelle Schwachstellen in Unternehmenssoftware, darunter VMware ESXi (CVE-2024-3400) und Fortinet FortiOS (CVE-2024-4512). Die Täter gelangen über kompromittierte RDP-Zugänge und gezielte Phishing-Kampagnen an die Anmeldedaten von IT-Administratoren.
Trotz weltweiter Strafverfolgungsmaßnahmen bleibt Medusa aktiv, unterstützt durch ausgeklügelte Methoden zur Geldwäsche über Kryptowährungen und ein Netzwerk von Partnern, die Angriffe großflächig verbreiten. Die Lösegeldforderungen des Gruppen haben inzwischen die Marke von einer Million US-Dollar pro Opfer überschritten, was betroffene Unternehmen unter massiven Druck setzt.
Expertenanalyse:
Die gezielten Angriffe auf kritische Infrastrukturen deuten darauf hin, dass Medusa nicht mehr nur ein rein finanziell motiviertes Ransomware-Kartell ist. Die Frage bleibt, ob diese Gruppe autonom operiert oder ob sie – direkt oder indirekt – von staatlichen Akteuren für strategische Destabilisierung genutzt wird.
Lesen Sie den vollständigen Artikel hier.
