El ransomware Medusa es una de las amenazas más peligrosas que acechan en el ciberespacio. Se trata de un tipo de malware que cifra los archivos de las víctimas y les exige un pago de rescate para recibir la clave de descifrado. El grupo detrás de este ransomware ha aumentado sus actividades desde que lanzó un sitio web dedicado en la dark web para publicar los datos sensibles de las víctimas que no acceden a sus demandas.
Los individuos involucrados en actividades relacionadas con el ransomware Medusa han intensificado sus operaciones desde la aparición de un sitio dedicado a la divulgación de datos en la web oscura en febrero de 2023. Este sitio se utiliza para publicar información confidencial de las víctimas que se niegan a cumplir con las demandas del grupo.
Como parte de su estrategia de extorsión múltiple, este grupo ofrece a las víctimas diversas opciones una vez que sus datos se han publicado en el sitio de divulgación. Estas opciones incluyen la extensión del plazo, la eliminación de datos o la descarga de todos los datos, y cada una de ellas tiene un costo que varía según la organización afectada.
Medusa, que no debe confundirse con Medusa Locker, es una familia de ransomware que surgió a finales de 2022 y ganó notoriedad en 2023. Este ransomware tiende a atacar diversas industrias, como tecnología, educación, manufactura, atención médica y comercio minorista de manera oportunista.
Te podrá interesar leer: Ransomware Medusa: Una Amenaza Emergente
Se estima que en 2023, hasta 74 organizaciones, principalmente en Estados Unidos, Reino Unido, Francia, Italia, España e India, fueron afectadas por este ransomware. Los ataques del grupo suelen comenzar explotando vulnerabilidades conocidas en activos o aplicaciones de Internet sin parchear y secuestrando cuentas legítimas. En ocasiones, utilizan intermediarios para acceder a redes objetivo.
En un caso observado, se aprovechó un servidor Microsoft Exchange para cargar un shell web, que luego se utilizó como punto de apoyo para instalar y ejecutar el software de administración y monitoreo remoto (RMM) ConnectWise. Un aspecto destacado de estas infecciones es su dependencia de técnicas de vida de la tierra (LotL) para pasar desapercibidas y el uso de controladores de kernel para deshabilitar productos de seguridad específicos.
Luego de obtener acceso inicial, los actores exploran y reconocen la red comprometida antes de ejecutar el ransomware para cifrar todos los archivos, excepto aquellos con ciertas extensiones específicas. En el sitio de divulgación de Medusa, se muestra información sobre las organizaciones, el rescate requerido, el tiempo restante antes de que se divulguen los datos robados y el número de visitas para ejercer presión sobre la empresa.
Los actores ofrecen diferentes opciones a las víctimas, todas implican alguna forma de extorsión para eliminar o descargar los datos robados y buscar una extensión del plazo para evitar la divulgación de los datos.
Podría interesarte: Evita el Pago de Ransomware: Riesgos del Rescate
A medida que el ransomware sigue siendo una amenaza creciente dirigida a empresas de tecnología, atención médica, infraestructura crítica y otros sectores, los actores detrás de él están adoptando tácticas más audaces, incluso yendo más allá de la exposición pública de las organizaciones y recurriendo a amenazas de violencia física y canales de relaciones públicas dedicados.
El ransomware ha evolucionado y se ha profesionalizado en gran medida en el panorama de las amenazas, y bandas como la de Medusa se están volviendo cada vez más expertas en medios de comunicación. Según investigadores, Medusa no solo cuenta con un equipo de medios, sino que también utiliza un canal público de Telegram llamado "soporte de información" para compartir archivos de organizaciones comprometidas. Este canal se estableció en julio de 2021.
Te podrá interesar: Descubriendo los canales en Telegram de la Dark Web
La aparición de Medusa a finales de 2022 y su prominencia en 2023 marcan un cambio significativo en el panorama del ransomware. Esta operación emplea métodos de propagación complejos, aprovechando vulnerabilidades y mediadores de acceso inicial, mientras evita la detección mediante técnicas de subsistencia.
Este desarrollo coincide con la publicación de casos en los que las víctimas de las bandas de ransomware Akira y Royal fueron atacadas por terceros malintencionados que se hicieron pasar por investigadores de seguridad para intentos secundarios de extorsión. Estos actores crearon una narrativa de ayuda a las organizaciones víctimas, ofreciendo hackear la infraestructura del servidor de los grupos de ransomware originales para eliminar los datos exfiltrados a cambio de un pago en bitcoins.
También se suma a un aviso del Centro Nacional de Seguridad Cibernética de Finlandia (NCSC-FI) sobre un aumento en los incidentes de ransomware Akira hacia fines de 2023, al explotar una vulnerabilidad en los dispositivos VPN de Cisco.
Te podrá interesar leer: Ciberataque a Nissan Australia: Ransomware Akira
La mejor forma de protegerse del ransomware Medusa es seguir las siguientes recomendaciones:
Podría interesarte leer: Concientización: Esencial en la Ciberseguridad de tu Empresa
Medusa Ransomware representa una amenaza significativa en el paisaje actual de la ciberseguridad. Su capacidad para infiltrarse en sistemas y cifrar datos críticos puede tener consecuencias devastadoras. Sin embargo, con las prácticas adecuadas de prevención, educación y respuesta rápida, es posible mitigar el riesgo y proteger los activos digitales valiosos.