Threat Intelligence

Medusa

Medusa erpresst mit öffentlichem Countdown: Wer nicht zahlt, dessen Daten erscheinen auf dem Leak-Blog – bevorzugte Opfer sind Bildung, Gesundheitswesen und KMU.

Kurz erklärt

Medusa ist eine Ransomware-as-a-Service-Gruppe, die seit 2023 stark gewachsen ist und ihre Opfer über einen öffentlichen Leak-Blog mit Countdown unter Druck setzt. CISA und FBI warnten explizit vor der Gruppe. Einstieg meist über ungepatchte Schwachstellen und gestohlene Zugangsdaten; getroffen werden überproportional Bildungseinrichtungen, Gesundheitswesen und KMU.

Typ

Ransomware-as-a-Service (RaaS)

Status

Aktiv – mit offizieller CISA/FBI-Warnung (Stand: Juli 2026)

Motivation

Finanziell

Typische Ziele

Bildung, Gesundheitswesen, KMU und kommunale Einrichtungen

Taktiken

Double Extortion mit öffentlichem Countdown, Exploits ungepatchter Systeme, Living-off-the-Land-Techniken

Risiko-Einschätzung

Hoch – besonders für Organisationen mit knappen IT-Ressourcen

Was Unternehmen jetzt prüfen sollten

  • Patch-Priorisierung nach tatsächlich ausgenutzten Schwachstellen (KEV-Liste)
  • MFA auf allen Konten – auch für Webmail und Verwaltungsportale
  • Monitoring auf verdächtige PowerShell-/Admin-Tool-Nutzung
  • Krisenkommunikation vorbereiten – Medusa setzt gezielt auf öffentlichen Druck

Wie Argos unterstützt

Vulnerability Management priorisiert die wirklich ausgenutzten Lücken, das Cyber Defense Center erkennt Angriffe früh – und im Ernstfall übernimmt Argos auch Krisenkommunikation und Behördenmeldungen.