- 19,423
- 40
- 8 Ноя 2022
Medusa не заметила предателя.
Группа киберпреступников RansomedVC вновь заявила о себе в 2025 году, Для просмотра ссылки Войдиили Зарегистрируйся на своём официальном сайте утечку внутренних переписок хакерской группировки Medusa, одной из наиболее заметных в мире Для просмотра ссылки Войди или Зарегистрируйся . Публикация была приурочена к запуску нового сайта утечек и сопровождалась демонстрацией двух жертв — из США и Бразилии. Это стало первой громкой акцией после возвращения RansomedVC на киберсцену.
Основное внимание RansomedVC уделила обнародованию чатов Medusa, датированных с 11 декабря 2022 года по март 2023-го. Судя по переписке, группировка использовала аккаунт с именем MediaTeam для продвижения своих действий в Telegram и на YouTube.
При получении доступа к системам требовались дампы хэшей, а в качестве облачных хранилищ Medusa предпочитала сервисы put.io с тарифом на 10 ТБ и Mega Pro 2. Информацию о версиях программного обеспечения жертв участники собирали из официальной документации компаний. Для работы с руткитами применялась утилита GMER, а для извлечения паролей — Volatility и инструменты для LSADump. В списке упоминаемых целей фигурировали Green Cloud и StoreOnce.
Объявление об утечке Medusa на сайте RansomedVC
В уязвимых системах использовались конкретные эксплойты, включая Для просмотра ссылки Войдиили Зарегистрируйся — опасную Для просмотра ссылки Войди или Зарегистрируйся в Atlassian Confluence, связанная с ONGL-инъекцией. Также обсуждалась уязвимость Для просмотра ссылки Войди или Зарегистрируйся , которая затрагивает Outlook Web App, и вопросы обхода Для просмотра ссылки Войди или Зарегистрируйся защиты в Для просмотра ссылки Войди или Зарегистрируйся .
Среди упомянутых участников Medusa — около 20 аффилированных ников. В числе них выделяется «drumrlu», широко известный на теневых форумах как брокер первоначального доступа. Ранее он поставлял доступ для группировки Thanos. В одном из эпизодов он жалуется на Для просмотра ссылки Войдиили Зарегистрируйся , блокировавший весь трафик, и описывает, как обошёл проблему, установив Anydesk через TOR и настроив прокси для удалённого управления — сессия продлилась один час.
Чат Для просмотра ссылки Войдиили Зарегистрируйся и внутренние конфликты: когда один из участников, Ray, попросил скрипт у drumrlu, тот отказался, опасаясь «сжечь» метод, но при этом выразил поддержку. Характерен и языковой след: участник Jester постоянно писал по-русски. Atari проявлял интерес к обходу Windows Defender, а nopiro подтверждённо применял упомянутую уязвимость Confluence. Участник datastore предположительно ранее состоял в Makop — ещё одной известной Для просмотра ссылки Войди или Зарегистрируйся .
Явный лидер Medusa, скрывающийся под ником boss, предлагал рассылать сообщения о взломе всем сотрудникам компаний и журналистам — так группа надеялась привлечь внимание общественности. Обсуждалось и обучение на YouTube — видеоролики по отключению защит Windows пользовались спросом.
Публикация чатов совпала по дате с созданием новой версии сайта утечек RansomedVC — 8 июля 2025 года. Это говорит о том, что утечка готовилась заранее и должна была усилить интерес к группе, проверив реакцию на первых двух жертв. Тем самым RansomedVC стремится заявить о себе как о серьёзном игроке в экосистеме Для просмотра ссылки Войдиили Зарегистрируйся , одновременно стараясь подорвать репутацию конкурентов.
Особый интерес вызвала переписка, в которой Ray делится скриптом, нацеленным на активацию Safe Mode (безопасного режима) в Windows для отключения защитных механизмов. Скрипт создаёт службу, регистрирует её в реестре и переводит систему в безопасный режим с последующей перезагрузкой. Однако допущенные ошибки в синтаксисе и предположения о работе сети в Safe Mode обернулись для Для просмотра ссылки Войдиили Зарегистрируйся провалом: сеть в этом режиме по умолчанию не работает, и без дополнительных ухищрений удалённый доступ теряется. Более того, часть параметров была прописана некорректно, что делало запуск сервиса нестабильным.
По содержанию чатов видно, что Medusa уделяет внимание продуктам Для просмотра ссылки Войдиили Зарегистрируйся : и в переписке, и в событиях 2024 года упоминаются попытки эксплуатации SQL-инъекций в этих системах. Вся активность указывает на ориентацию на США — именно эта страна упоминается чаще всего в целях.
RansomedVC подчёркивает, что получил доступ к этим данным благодаря «инсайдерам». Учитывая временные рамки переписки и возвращение самой группы, нельзя исключать, что один из участников RansomedVC в прошлом сотрудничал с Medusa. Это также может означать внутренний конфликт или попытку дестабилизировать конкурента через преднамеренную утечку.
Сама структура киберпреступного мира становится всё более агрессивной и конкурентной: группы борются за аффилированных партнёров, максимизацию жертв, персонифицированную поддержку при переговорах, ребрендинг, борьбу за репутацию и информпространство. Утечка переписки Medusa становится частью этой борьбы, а RansomedVC с её помощью возвращается в игру.
Группа киберпреступников RansomedVC вновь заявила о себе в 2025 году, Для просмотра ссылки Войди
Основное внимание RansomedVC уделила обнародованию чатов Medusa, датированных с 11 декабря 2022 года по март 2023-го. Судя по переписке, группировка использовала аккаунт с именем MediaTeam для продвижения своих действий в Telegram и на YouTube.
При получении доступа к системам требовались дампы хэшей, а в качестве облачных хранилищ Medusa предпочитала сервисы put.io с тарифом на 10 ТБ и Mega Pro 2. Информацию о версиях программного обеспечения жертв участники собирали из официальной документации компаний. Для работы с руткитами применялась утилита GMER, а для извлечения паролей — Volatility и инструменты для LSADump. В списке упоминаемых целей фигурировали Green Cloud и StoreOnce.
Объявление об утечке Medusa на сайте RansomedVC
В уязвимых системах использовались конкретные эксплойты, включая Для просмотра ссылки Войди
Среди упомянутых участников Medusa — около 20 аффилированных ников. В числе них выделяется «drumrlu», широко известный на теневых форумах как брокер первоначального доступа. Ранее он поставлял доступ для группировки Thanos. В одном из эпизодов он жалуется на Для просмотра ссылки Войди
Чат Для просмотра ссылки Войди
Явный лидер Medusa, скрывающийся под ником boss, предлагал рассылать сообщения о взломе всем сотрудникам компаний и журналистам — так группа надеялась привлечь внимание общественности. Обсуждалось и обучение на YouTube — видеоролики по отключению защит Windows пользовались спросом.
Публикация чатов совпала по дате с созданием новой версии сайта утечек RansomedVC — 8 июля 2025 года. Это говорит о том, что утечка готовилась заранее и должна была усилить интерес к группе, проверив реакцию на первых двух жертв. Тем самым RansomedVC стремится заявить о себе как о серьёзном игроке в экосистеме Для просмотра ссылки Войди
Особый интерес вызвала переписка, в которой Ray делится скриптом, нацеленным на активацию Safe Mode (безопасного режима) в Windows для отключения защитных механизмов. Скрипт создаёт службу, регистрирует её в реестре и переводит систему в безопасный режим с последующей перезагрузкой. Однако допущенные ошибки в синтаксисе и предположения о работе сети в Safe Mode обернулись для Для просмотра ссылки Войди
По содержанию чатов видно, что Medusa уделяет внимание продуктам Для просмотра ссылки Войди
RansomedVC подчёркивает, что получил доступ к этим данным благодаря «инсайдерам». Учитывая временные рамки переписки и возвращение самой группы, нельзя исключать, что один из участников RansomedVC в прошлом сотрудничал с Medusa. Это также может означать внутренний конфликт или попытку дестабилизировать конкурента через преднамеренную утечку.
Сама структура киберпреступного мира становится всё более агрессивной и конкурентной: группы борются за аффилированных партнёров, максимизацию жертв, персонифицированную поддержку при переговорах, ребрендинг, борьбу за репутацию и информпространство. Утечка переписки Medusa становится частью этой борьбы, а RansomedVC с её помощью возвращается в игру.
- Источник новости
- www.securitylab.ru
