عوامل باجافزار Medusa از زمان پیدایش در ژانویه 2023، نزدیک به 400 قربانی گرفتهاند و حملات با انگیزه مالی بین سالهای 2023 تا 2024 شاهد افزایش 42 درصدی بودهاند.
این گروه که Spearwing نامگذاری شده، تنها در دو ماه اول سال 2025 بیش از 40 حمله را بر عهده گرفته است. همانند اکثر اپراتورهای باجافزار، Spearwing و شرکتهای وابسته به آن حملات اخاذی مضاعفی انجام میدهند و اطلاعات قربانیان را قبل از رمزگذاری شبکهها به سرقت میبرند تا فشار بر قربانیان را برای پرداخت باج افزایش دهند. زنجیرههای حمله شامل اکسپلویت از نقصهای امنیتی شناختهشده در اپلیکیشنهای عمومی، عمدتاً Microsoft Exchange Server برای اخذ دسترسی اولیه است تا از نرمافزارهای مدیریت و نظارت از راه دور (RMM) مانند SimpleHelp، AnyDesk یا MeshAgent برای دسترسی مداوم و از تکنیک Bring Your Own Vulnerable Driver (BYOVD) جهت خاتمه فرآیندهای آنتیویروس با KillAV استفاده کنند. برخی از ابزارهای به کار رفته در حملات عبارتند از Navicat برای دسترسی و اجرای کوئریهای پایگاه داده، RoboCopy و Rclone برای استخراج دادهها.
https://thehackernews.com/2025/03/medusa-ransomware-hits-40-victims-in.html
https://www.security.com/threat-intelligence/medusa-ransomware-attacks
