Die Ransomware-Gruppe Medusa hat laut dem BBC-Cybersicherheitsreporter Joe Tidy versucht, einen Insiderzugang zur BBC-Infrastruktur zu kaufen – inklusive eines finanziell attraktiven Angebots und der anschließenden Nutzung von MFA-Bombing, um einen initialen Zugriff zu erzwingen. Der Vorfall verdeutlicht, wie professionell Erpressergruppen Insider ansprechen und Push-basiertes Multi-Faktor-Login missbrauchen.
Insider-Ansprache, Geldangebot und MFA-Spam: So lief der Angriff
Ein Akteur mit dem Pseudonym Syndicate kontaktierte Tidy über einen verschlüsselten Messenger. Zunächst wurden 15 % des potenziellen Lösegelds angeboten, später erhöht um weitere 10 %. Der Anspruch: Bei einem erfolgreichen Angriff auf die BBC seien Forderungen in zweistelliger Millionenhöhe (USD) denkbar. Um die Ernsthaftigkeit zu untermauern, stellte der Täter eine Escrow-Einzahlung von 0,5 BTC (rund 55.000 US-Dollar) auf einem einschlägigen Forum in Aussicht.
Operativ sollte auf Tidys Laptop ein Skript ausgeführt werden – mutmaßlich, um eine erste Foothold-Position im Netzwerk zu schaffen. Als die Kommunikation ins Stocken geriet, erhielt Tidy eine Flut von Push-Anfragen zur Bestätigung der Anmeldung: ein klassisches MFA-Bombing (auch MFA-Spam), bei dem Angreifer mit bereits erbeuteten Zugangsdaten hoffen, dass das Opfer versehentlich oder aus Frust zustimmt. Tidy bestätigte keine Anfrage und informierte umgehend die BBC-Sicherheitsabteilung; sein Zugang wurde vorsorglich deaktiviert. Der mutmaßliche Medusa-Vertreter entschuldigte sich später für die MFA-Spam-Welle und löschte nach einigen Tagen die Signal-ID.
Bedrohungsprofil Medusa: Taktiken, Techniken und Verfahren
Medusa ist mindestens seit Januar 2021 aktiv. Nach Einschätzung der US-Behörde CISA wird die Gruppe mit hunderten Angriffen auf Organisationen kritischer Infrastruktur in Verbindung gebracht. Medusas Kernkompetenz liegt im Post-Compromise: seitliche Bewegung, Datenexfiltration, Verschlüsselung und Doppelterpressung durch Leaks.
Für den Erstzugang setzt Medusa laut Analysen auf Initial Access Broker (IAB), die kompromittierte Konten oder VPN-/RDP-Zugänge im Untergrundhandel anbieten. Die direkte Rekrutierung von Insidern ist die logische Erweiterung: Interner Zugang umgeht Perimeterschutz, beschleunigt die Erkundung des Netzwerks und reduziert die Sichtbarkeit in Protokollen.
Warum Insiderzugang für Ransomware-Gruppen so attraktiv ist
Insider senken operative Risiken: weniger auffällige Scans, schnellere Privilege Escalation und direkter Zugriff auf kritische Systeme. Kombiniert mit finanziellen Anreizen bleibt Social Engineering eine der effektivsten Kompromittierungsmethoden. Der anhaltende Bedarf im IAB-Markt und bei Insider-Szenarien zeigt sich besonders bei Medienhäusern, Tech-Firmen und Betreibern kritischer Infrastrukturen.
Abwehrstrategien: MFA-Härtung, Insider-Risikomanagement und Vorbereitung
MFA-Bombing verhindern und Authentisierung stärken
– Aktivieren Sie Schutzmechanismen für Push-Anfragen: Number Matching/Code-Bestätigung, Kontextanzeige (App, Standort, IP), Rate-Limits und automatische Sperren nach wiederholten Ablehnungen. Anbieter wie Microsoft empfehlen Number Matching explizit.
– Wechseln Sie auf phishing-resistente Faktoren (FIDO2/WebAuthn, Hardware-Token) und reduzieren Sie Abhängigkeiten von Push- oder SMS/OTP. Dies entspricht Best Practices von NIST (SP 800-63) und der FIDO Alliance.
Least Privilege, Monitoring und Sensibilisierung
– Durchsetzen des Prinzip der geringsten Rechte, Just-in-Time-Zugriffe und konsequente Netzwerksegmentierung im Sinne von Zero Trust.
– Einsatz von EDR/XDR mit Verhaltensanalytik, Korrelation ungewöhnlicher Logins und Erkennung von MFA-Anomalien (z. B. ungewöhnliche Häufung von Push-Anfragen).
– Aufbau von Awareness-Programmen und vertraulichen Meldekanälen für Bestechungs- und Rekrutierungsversuche; regelmäßige Social-Engineering-Übungen und Red-Team-Szenarien.
Vorbereitung und Reaktion auf Insider-Vorfälle
– Aktualisierte Incident-Response-Playbooks für Insiderangriffe und MFA-Fatigue, ergänzt durch Tabletop-Übungen mit Fachbereichen, HR und Recht.
– Stärkere Third-Party-Governance: vertragliche Zugriffskontrollen, Protokollierung, least privilege für Dienstleister sowie klar definierte Offboarding-Prozesse.
Der Fall zeigt die fortschreitende Kommerzialisierung von Zugangsdaten und die Bereitschaft von Ransomware-Gruppen, für zuverlässige Einstiegspunkte zu zahlen. Organisationen sollten jetzt handeln: Push-basierte MFA absichern, phishing-resistente Authentisierung priorisieren, Anomalieerkennung ausbauen und eine Kultur des „wachsamen Ablehnens“ etablieren. Ein praktischer Einstieg: MFA-Einstellungen binnen 30 Tagen auf Number Matching umstellen, ein Pilot mit FIDO2-Keys starten und einen
