Simulation Træning Monitorering Priser Virksomheden Ressourcer Blog Kontakt
Prøv det gratis Log ind

Medusa Ransomware slår sikkerheden fra indefra

Medusa-ransomware bruger stjålne certifikater og signerede drivere til at slå sikkerheden fra, før systemer krypteres. Læs, hvordan angrebet udføres.

28-03-2025 - 3 minutters læsning. Under kategorien: cybercrime.

Medusa Ransomware slår sikkerheden fra indefra

Medusa deaktiverer anti-malware med signeret malware

Forskere fra Elastic Security Labs har afsløret en avanceret taktik, som anvendes af Medusa-ransomwaregruppen. Gruppen benytter ondsindede drivere, der er signeret med stjålne digitale certifikater, til at deaktivere anti-malware-værktøjer og omgå eksisterende sikkerhedsforanstaltninger. Denne metode giver hackerne udvidet adgang og gør det muligt at gennemføre et angreb, før systemerne bliver krypteret.

En signeret driver med ondsindede hensigter

Kernen i denne kampagne er en 'kernel mode drivers', der fremstår legitim, fordi den er signeret med stjålne digitale certifikater. Certifikaterne stammer oprindeligt fra troværdige softwareleverandører, hvilket gør det muligt at indlæse driveren i Windows uden at udløse advarsler. Når driveren først er aktiv, deaktiverer den sikkerhedsværktøjer på enheden, herunder antivirus og EDR-systemer, og efterlader systemet sårbart over for angreb.

Det gør Medusas ransomware både farligere og langt sværere at opdage i tide. Når sikkerhedssoftwaren først er sat ud af spillet, kan ransomwaren frit kryptere filer, slette sikkerhedskopier og efterlade en løsesumnote uden modstand.

Tillid som et våben

Digitalt signerede drivere bliver som udgangspunkt betragtet som sikre. Medusa udnytter denne tillid ved at bruge stjålne certifikater til at smugle ondsindede komponenter ind i systemet. Det er en taktik, der misbruger netop de mekanismer, der skal beskytte brugerne.

Den skadelige driver er udviklet til at deaktivere eller svække en lang række sikkerhedsprodukter. Det er ikke et tilfældigt angrebsværktøj, men et målrettet redskab, der vidner om en dyb indsigt i, hvordan moderne forsvar fungerer – og hvordan man effektivt kan sætte dem ud af spillet uden at blive opdaget.

Udviklingen af Medusa

Medusa har været aktiv i ransomware-landskabet i flere år og opererer gennem en ransomware-as-a-service-model (RaaS). Gruppen har ramt organisationer på tværs af brancher, og deres metoder er blevet stadig mere avancerede. Den nyeste taktik, hvor forsvarsmekanismer deaktiveres på kerneniveau, markerer et tydeligt skridt op i teknisk niveau. Vil du vide mere om, hvordan RaaS bidrager til cyberkriminalitet? Læs vores guide til ransomware-as-a-service.

Hackerne opnår typisk adgang via phishing-mails eller usikrede RDP-forbindelser. Når de først er inde, implementerer de den ondsindede driver for at lamme sikkerhedsværktøjer, før de aktiverer ransomware-nyttelasten og krypterer systemerne. Vil du forstå, hvordan phishing virker, og hvordan du undgår det? Se vores phishing-guide.

Hvad forsvarere kan gøre

  • Angrebet understreger, at digital tillid – herunder brugen af signerede certifikater – også kan udnyttes som et våben. For at være på forkant med trusler som denne bør sikkerhedsteams tage følgende forholdsregler:

  • Overvåg installation af drivere og vær særligt opmærksom på usædvanlige eller nyligt signerede drivere – selv dem, der umiddelbart virker legitime.

  • Aktivér OS-beskyttelse på kernelniveau, som for eksempel Microsofts HVCI (Hypervisor-Protected Code Integrity), der forhindrer indlæsning af drivere, der ikke er fuldt betroede.

  • Brug adfærdsbaseret detektion i endpoint-sikkerhedsløsninger til at identificere mistænkelig aktivitet, som kan undgå klassisk signaturbaseret registrering.

  • Begræns og kontroller brugen af certifikater, især i miljøer hvor tredjeparts-drivere eller software er i brug.

Afsluttende tanker

Medusas brug af stjålne certifikater og signerede drivere viser tydeligt, hvordan hackerne hele tiden udvikler nye metoder. Ved at forvandle ellers pålidelige komponenter til våben formår de at nedbryde sikkerheden indefra.

For at forblive beskyttet må forsvarere tænke i lag, handle proaktivt og være konstant årvågne. I et trusselsbillede som det nuværende er selv signeret kode ikke nødvendigvis et tegn på, at noget er sikkert.

Forfatter Sarah Krarup

Sarah Krarup

Sarah studerer innovation og entrepreneurship og har en dyb interesse for IT og hvordan cybersikkerhed påvirker virksomheder og private. Hun har stor erfaring med copywriting og en passion for at formidle viden om cybersikkerhed på en engagerende måde.

Se alle indlæg af Sarah Krarup

Lignende indlæg

Social engineering: Hackerens bedrageriske værk
cybercrime

Social engineering: Hackerens bedrageriske værk

Social engineering er fundamentet i phishing - hackere har fundet ud af at appellere til vores følelser og går derfor efter mennesket i stedet for teknologien.

02-10-2023 · 8 min.
Forskellen på typer af hackere
hacking

Forskellen på typer af hackere

Hacking er et stadig stigende problem både i Danmark og i resten af verden. Bag hacking opererer hackere, men det er ikke alle hackere, der er kriminelle.

01-06-2022 · 6 min.
Zendesk misbrugt i brand-svindel
cybercrime

Zendesk misbrugt i brand-svindel

Lær, hvordan hackere udnytter Zendesk-underdomæner til phishing og svindel, herunder 'pig butchering'. Læs Moxsos tips til at holde dig beskyttet.

24-01-2025 · 7 min.