Medusa-Ransomware – Die leise Gefahr mit massivem Schaden

Seit ihrer ersten aktiven Phase im Jahr 2021 hat sich die Medusa-Ransomware-Gruppe leise, aber effektiv in die Riege der gefährlichsten Cybercrime-Akteure eingereiht. Mit gezielten Angriffen auf Unternehmen, Bildungseinrichtungen und kritische Infrastrukturen agiert Medusa weltweit und verfolgt dabei ein klares Ziel: Datenverschlüsselung, Erpressung und maximale Ertragsgenerierung – notfalls durch öffentliche Bloßstellung.

Medusa ist eine Ransomware-as-a-Service (RaaS)-Gruppe. Das bedeutet: Die eigentliche Malware wird von einem Kernteam entwickelt und Affiliates zur Verfügung gestellt. Diese suchen sich ihre Opfer selbst und zahlen einen Teil des erpressten Lösegelds an die Entwickler.

Die Gruppe operiert vermutlich aus einem russischsprachigen Umfeld. Auffällig: Unternehmen in Russland und GUS-Staaten wurden bisher bewusst verschont.

Medusa nutzt eine Kombination aus altbewährten und modernen Techniken. Typischerweise verläuft ein Angriff in mehreren Stufen:

1. Zugang über Phishing oder ungepatchte Schwachstellen
2. Seitliche Bewegung im Netzwerk mittels Tools wie RDP, PowerShell oder anderen legitimen IT-Tools
3. Privilegienausweitung zur Erlangung administrativer Rechte
4. Exfiltration sensibler Daten
5. Verschlüsselung der Systeme und Lösegeldforderung
6. Veröffentlichungsdrohung – sofern kein Lösegeld gezahlt wird

Die Ransomware legt eine klassische Textdatei mit Lösegeldanweisung ab. Die verschlüsselten Dateien erhalten meist die Endung .medusa.

Ein zentrales Druckmittel der Gruppe ist ihre eigene Leak-Seite im Darknet, der sogenannte “Medusa Blog”. Wird nicht gezahlt, landen die exfiltrierten Daten dort öffentlich einsehbar – teils inklusive Kunden-, Patienten- oder Personaldaten.

Die Liste der Opfer wächst stetig. Einige der bekanntesten Fälle sind:

• Minneapolis Public Schools (USA, 2023): Über 90 GB sensibler Schüler-, Personal- und Verwaltungsdaten wurden gestohlen und nach Ablehnung der Zahlung veröffentlicht.
• Toyota Financial Services (2023): Angriff auf die Finanzsparte des Autoherstellers mit erheblichen Betriebsstörungen.

Zahlreiche KMUs in Europa – darunter auch Unternehmen aus den Bereichen Logistik, Recht, Medizin, IT und Industrie.

Im Gegensatz zu medienwirksameren Gruppen wie LockBit oder ALPHV arbeitet Medusa vergleichsweise unauffällig, aber hocheffektiv. Auffällig ist die Kombination aus:

• gezielter Auswahl der Opfer
• technischer Raffinesse (z. B. Living-off-the-Land-Techniken)
• Drohkulisse durch Datenleaks

Hinzu kommt, dass Medusa oft in Infrastrukturen eindringt, in denen IT-Ressourcen oder Sicherheitspersonal knapp sind – ein strategisch gewählter Hebel.

Um Angriffe zu verhindern oder deren Auswirkungen zu begrenzen, empfehlen wir:

• Multi-Faktor-Authentifizierung auf allen kritischen Systemen
• Regelmäßige Sicherheitsupdates und Patch-Management
• Schulung der Mitarbeitenden zu Phishing, Social Engineering & Co.
• Segmentierung des Netzwerks und minimaler Rechtevergabe
• Regelmäßige Backups, offline gesichert und auf Wiederherstellbarkeit getestet
• Vorbereitung eines Incident-Response-Plans mit klaren Abläufen im Ernstfall

Die Gruppe ist professionell organisiert, lernfähig und hochmotiviert. Ihre Angriffe sind keine Zufälle, sondern gezielte Operationen mit möglicherweise staatlicher Duldung.

Wenn Sie betroffen sind oder sich vorbereiten wollen:

Wir helfen mit:

• Soforthilfe im Akutfall
• Forensik und Datenrettung
• Beratung zur IT-Hardening und Sicherheitsstrategie