Операторы вымогательской группы Medusa предприняли попытку завербовать сотрудника BBC, предложив крупное вознаграждение за инсайдерский доступ к корпоративной сети. По словам журналиста, освещающего вопросы кибербезопасности, Джо Тайди, его контактировали через зашифрованный мессенджер и пытались использовать его устройство для первичного проникновения с последующим вымогательством.
Как действовали операторы Medusa: вербовка инсайдера и попытка MFA-атаки
Инициатором контакта, по словам Тайди, выступил участник под псевдонимом Syndicate. Сначала он предложил 15% от суммы потенциального выкупа, а затем увеличил оффер еще на 10%, утверждая, что запрос к BBC может достигать десятков миллионов долларов. В качестве демонстрации серьезности намерений злоумышленник обещал внести 0,5 BTC (около 55 000 долл. США по текущему курсу) на эскроу-счет на хакерском форуме до начала операции.
По словам журналиста, злоумышленники настаивали на запуске скрипта на его ноутбуке, что, вероятно, должно было предоставить им стартовую foothold-точку в инфраструктуре BBC. Когда Тайди затянул переписку, на его устройство посыпались запросы многофакторной аутентификации — характерная техника MFA-бомбинга (или MFA-спама), когда злоумышленник, имея учетные данные, засыпает жертву push-запросами, рассчитывая на случайное или вынужденное подтверждение входа.
Тайди не подтвердил вход и оперативно уведомил службу кибербезопасности BBC, после чего его доступ к инфраструктуре был превентивно отключен. Позднее предполагаемый представитель Medusa извинился за всплеск MFA-запросов и несколько дней сохранял «предложение о сотрудничестве», прежде чем удалить учетную запись в Signal.
Профиль группы Medusa и ее тактика
Группировка Medusa активна как минимум с января 2021 года и, по оценкам Агентства по кибербезопасности и защите инфраструктуры США (CISA), причастна к сотням атак на организации критической инфраструктуры в США. Характерная черта их модели — фокус на этапе post-compromise (после получения доступа), включая разворачивание вымогательского ПО, эксфильтрацию данных и давление через двойное вымогательство (угроза публикации).
Для первоначального проникновения Medusa, согласно аналитическим сводкам, активно привлекает брокеров первоначального доступа (Initial Access Brokers, IAB) на профильных форумах и маркетплейсах даркнета. Вербовка инсайдеров — логичное продолжение этой стратегии: внутренний доступ часто позволяет обойти периметровые средства защиты и ускорить «разведку на местности» в сети жертвы.
Почему инсайдеры — ключевая цель вымогателей
Инсайдерский доступ снижает операционные риски злоумышленников: меньше шума в логах, выше шансы на эскалацию привилегий и доступ к критическим системам. К тому же социальная инженерия, подкрепленная финансовым стимулом, остается одной из самых результативных техник компрометации. В последние годы рынки IAB и сценарии с вовлечением сотрудников демонстрируют устойчивый спрос, особенно против медиахолдингов, технологических компаний и операторов критической инфраструктуры.
Как защищаться: практические меры для организаций
Укрепление аутентификации и противодействие MFA-бомбингу
— Включайте защиту push-запросов: number matching/код-подтверждение, контекст (геолокация, приложение, IP), ограничение частоты запросов и автоматическую блокировку после нескольких отказов.
— Переходите на фишинг-устойчивые факторы (FIDO2/WebAuthn, аппаратные ключи), минимизируя зависимость от пушей и одноразовых кодов.
Минимизация инсайдерских рисков
— Реализуйте принцип наименьших привилегий и just-in-time доступ к чувствительным системам, а также сегментацию сети.
— Применяйте EDR/XDR с поведенческой аналитикой, мониторингом необычных входов и аномалий, в том числе всплесков MFA-запросов.
— Запускайте программы осведомленности и доверенные каналы для сообщения о попытках вербовки; имитируйте сценарии социальной инженерии в учениях «красной команды».
Подготовка к инцидентам
— Держите актуальными плейбуки реагирования на попытки инсайдерских атак и учет сценариев MFA-fatigue. Регулярно проводите tabletop-упражнения.
— Используйте эскроу и юридические механизмы по работе с поставщиками/подрядчиками, чтобы минимизировать внешние векторы инсайдерских угроз.
Случай с попыткой вербовки в BBC иллюстрирует растущую коммерциализацию доступа и готовность вымогателей платить за надежные «входные точки». Комбинация социальной инженерии и MFA-бомбинга — тактика, которая уже проявляла эффективность в ряде громких инцидентов и потому будет и дальше использоваться. Организациям стоит ускорить внедрение фишинг-устойчивой аутентификации, усилить мониторинг аномалий и выстраивать культуру «бдительного отказа», когда любой подозрительный запрос или щедрое «предложение» немедленно эскалируется в службу безопасности.
