<div id="post_message_802747">

Группа киберпреступников RansomedVC вновь заявила о себе в 2025 году, разместив на своём официальном сайте утечку внутренних переписок хакерской группировки Medusa, одной из наиболее заметных в мире программ-вымогателей . Публикация была приурочена к запуску нового сайта утечек и сопровождалась демонстрацией двух жертв — из США и Бразилии. Это стало первой громкой акцией после возвращения RansomedVC на киберсцену.<br/>
<br/>
Основное внимание RansomedVC уделила обнародованию чатов Medusa, датированных с 11 декабря 2022 года по март 2023-го. Судя по переписке, группировка использовала аккаунт с именем MediaTeam для продвижения своих действий в Telegram и на YouTube.<br/>
<br/>
При получении доступа к системам требовались дампы хэшей, а в качестве облачных хранилищ Medusa предпочитала сервисы put.io с тарифом на 10 ТБ и Mega Pro 2. Информацию о версиях программного обеспечения жертв участники собирали из официальной документации компаний. Для работы с руткитами применялась утилита GMER, а для извлечения паролей — Volatility и инструменты для LSADump. В списке упоминаемых целей фигурировали Green Cloud и StoreOnce.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://cdn.securitylab.ru/upload/medialibrary/6f4/8kdq3o7vfnps56wia95eb31wnhhd01fs.png"/><br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">

Объявление об утечке Medusa на сайте RansomedVC

</td>
</tr>
</table>
</div>В уязвимых системах использовались конкретные эксплойты, включая CVE-2022–26134 — опасную уязвимость в Atlassian Confluence, связанная с ONGL-инъекцией. Также обсуждалась уязвимость ProxyNotShell , которая затрагивает Outlook Web App, и вопросы обхода антивирусной защиты в Windows Defender .<br/>
<br/>
Среди упомянутых участников Medusa — около 20 аффилированных ников. В числе них выделяется «drumrlu», широко известный на теневых форумах как брокер первоначального доступа. Ранее он поставлял доступ для группировки Thanos. В одном из эпизодов он жалуется на Fortinet Firewall , блокировавший весь трафик, и описывает, как обошёл проблему, установив Anydesk через TOR и настроив прокси для удалённого управления — сессия продлилась один час.<br/>
<br/>
Чат <a href="https://theravenfile.com/2025/07/10/medusa-ransomware-exposed-by-ransomedvc/?" target="_blank">раскрывает </a>и внутренние конфликты: когда один из участников, Ray, попросил скрипт у drumrlu, тот отказался, опасаясь «сжечь» метод, но при этом выразил поддержку. Характерен и языковой след: участник Jester постоянно писал по-русски. Atari проявлял интерес к обходу Windows Defender, а nopiro подтверждённо применял упомянутую уязвимость Confluence. Участник datastore предположительно ранее состоял в Makop — ещё одной известной <a href="https://www.securitylab.ru/glossary/raas/" target="_blank">вымогательской группировке </a>.<br/>
<br/>
Явный лидер Medusa, скрывающийся под ником boss, предлагал рассылать сообщения о взломе всем сотрудникам компаний и журналистам — так группа надеялась привлечь внимание общественности. Обсуждалось и обучение на YouTube — видеоролики по отключению защит Windows пользовались спросом.<br/>
<br/>
Публикация чатов совпала по дате с созданием новой версии сайта утечек RansomedVC — 8 июля 2025 года. Это говорит о том, что утечка готовилась заранее и должна была усилить интерес к группе, проверив реакцию на первых двух жертв. Тем самым RansomedVC стремится заявить о себе как о серьёзном игроке в экосистеме <a href="https://www.securitylab.ru/analytics/538799.php" target="_blank">вымогателей </a>, одновременно стараясь подорвать репутацию конкурентов.<br/>
<br/>
Особый интерес вызвала переписка, в которой Ray делится скриптом, нацеленным на активацию Safe Mode (безопасного режима) в Windows для отключения защитных механизмов. Скрипт создаёт службу, регистрирует её в реестре и переводит систему в безопасный режим с последующей перезагрузкой. Однако допущенные ошибки в синтаксисе и предположения о работе сети в Safe Mode обернулись для хакеров провалом: сеть в этом режиме по умолчанию не работает, и без дополнительных ухищрений удалённый доступ теряется. Более того, часть параметров была прописана некорректно, что делало запуск сервиса нестабильным.<br/>
<br/>
По содержанию чатов видно, что Medusa уделяет внимание продуктам Fortinet : и в переписке, и в событиях 2024 года упоминаются попытки эксплуатации SQL-инъекций в этих системах. Вся активность указывает на ориентацию на США — именно эта страна упоминается чаще всего в целях.<br/>
<br/>
RansomedVC подчёркивает, что получил доступ к этим данным благодаря «инсайдерам». Учитывая временные рамки переписки и возвращение самой группы, нельзя исключать, что один из участников RansomedVC в прошлом сотрудничал с Medusa. Это также может означать внутренний конфликт или попытку дестабилизировать конкурента через преднамеренную утечку.<br/>
<br/>
Сама структура киберпреступного мира становится всё более агрессивной и конкурентной: группы борются за аффилированных партнёров, максимизацию жертв, персонифицированную поддержку при переговорах, ребрендинг, борьбу за репутацию и информпространство. Утечка переписки Medusa становится частью этой борьбы, а RansomedVC с её помощью возвращается в игру.<br/>
<br/>
<a href="https://www.securitylab.ru/news/561259.php" target="_blank">@ SecurityLab </a>
</div>