¿Cómo detectar el ransomware medusa con Wazuh?

Los ataques de ransomware ya no son raros ni exclusivos de las grandes empresas. Hoy en día, están por todas partes: son más comunes, más agresivos y cada vez más difíciles de detectar. Uno de los nombres que más ha sonado últimamente es Medusa, una variante de ransomware como servicio (RaaS) que apareció por primera vez en junio de 2021 y ya ha afectado a más de 300 organizaciones en todo el mundo.

Este malware ha golpeado sectores clave como la salud, la educación, el mundo legal, los seguros, la tecnología e incluso la manufactura. ¿Cómo lo hace? En la mayoría de los casos, entra por donde siempre duele: correos de phishing y software con vulnerabilidades sin actualizar. Y lo peor es que no importa cuán segura creas que está tu organización, Medusa encuentra la forma de colarse. Desde febrero de 2025, ha vuelto con más fuerza, y los ataques van en aumento.

Apunta directamente a sistemas Windows, cifra archivos, pide rescates enormes y deja caos a su paso: operaciones paralizadas, pérdidas de dinero, reputaciones por los suelos… En este artículo te vamos a enseñar cómo detectar a tiempo esta amenaza usando Wazuh, una plataforma de seguridad open-source que te ayuda a monitorear tu infraestructura, lanzar alertas y actuar rápido ante cualquier actividad sospechosa.

Tabla de Contenido

• ¿Cómo detecta Wazuh a Medusa?
• Servidor de Wazuh
• ¿Cómo ver las alertas de Medusa en el panel de Wazuh?
• ¿Cómo elimina Wazuh los archivos maliciosos?

¿Qué hace exactamente el ransomware Medusa cuando ataca?

Medusa no llega con sutilezas. Una vez logra entrar a un sistema (ya sea por un correo de phishing o aprovechando alguna vulnerabilidad sin parchear) empieza a hacer su trabajo sucio de inmediato. Lo primero que hace es cerrar procesos y servicios que puedan estorbarle. Tiene una lista preparada y ejecuta comandos como:

net stop "{Nombre del servicio}" /y
taskkill /F /im {Nombre del proceso} /T

Estos comandos básicamente le dicen al sistema: “Apaga esto, sácalo de mi camino”.

Después, comienza a cifrar archivos en el equipo afectado y les añade una extensión propia para dejar claro que ahora están en sus manos. Eso sí, es “inteligente”: evita cifrar algunos directorios del sistema, como C:\Windows, C:\PerfLogs y otros similares, para que el equipo no colapse por completo... al menos no de inmediato.

Para asegurarse de que no puedas recuperar nada por tu cuenta, borra las copias sombra del sistema con este comando: vssadmin delete shadows /all /quiet. Y como toque final, deja una nota de rescate en cada carpeta por donde pasa, con el clásico archivo de texto llamado: !!!READ_ME_MEDUSA!!!.txt.

Ahí es donde te dice cuánto tienes que pagar (normalmente en criptomonedas), y qué pasará si no lo haces. Spoiler: nada bueno.

¿Con qué infraestructura Wazuh hizo las pruebas?

Para probar la detección del ransomware Medusa, Wazuh armó un entorno de laboratorio bastante práctico y fácil de replicar. Esto fue lo que usaron:

1. Una OVA de Wazuh (versión 4.11.2) ya configurada, que incluye todo lo esencial: el servidor, el indexador y el panel de control. Básicamente, una máquina virtual lista para desplegar y empezar a trabajar. 

2. Un endpoint con Windows 11 actuando como sistema víctima, donde instalaron el agente de Wazuh 4.11.2 y lo conectaron al servidor. Así podían monitorear de cerca lo que hacía Medusa una vez entraba en acción.

Este setup les permitió simular un ataque real y mostrar cómo Wazuh responde y genera alertas en tiempo real.

Podría interesarte leer: Detección de Ataques de Ransomware con Wazuh

¿Cómo detecta Wazuh a Medusa?

Reglas personalizadas que ayudan a identificar la amenaza

Para poder detectar a Medusa en acción, se necesita saber qué buscar. No basta con tener un antivirus funcionando o mirar logs al azar: hay que prestar atención a los patrones de comportamiento que este ransomware deja tras de sí. Para eso, en Wazuh configuraron un entorno con una máquina Windows y empezaron a monitorear sus eventos con Sysmon, una herramienta que te da visibilidad detallada sobre lo que ocurre en el sistema.

A partir de esos registros, crearon reglas personalizadas en el servidor de Wazuh para detectar acciones sospechosas, como procesos que se cierran de golpe, servicios que se apagan sin explicación o cambios extraños en los archivos. Todo eso puede ser una señal de que Medusa (u otro ransomware) está haciendo de las suyas.

¿Cómo configurar Sysmon en Windows para trabajar con Wazuh?

Si tú también quieres hacer algo similar, acá te dejamos cómo lo hizo el equipo de Wazuh paso a paso:

1. 1. Descarga Sysmon desde la página de Microsoft Sysinternals.

   2. Extrae el archivo ZIP en la carpeta que prefieras.

   3. Abre PowerShell como administrador y ejecuta este comando para bajar el archivo de configuración de Sysmon (no olvides poner tu propia ruta): wget -Uri https://wazuh.com/resources/blog/emulation-of-attack-techniques-and-detection-with-wazuh/sysmonconfig.xml -OutFile <SYSMON_EXECUTABLE_PATH>\sysmonconfig.xml

   4. Ve a la carpeta donde tienes el ejecutable de Sysmon y corre esto: .\Sysmon64.exe -accepteula -i sysmonconfig.xml

   5. Ahora toca decirle al agente de Wazuh que recoja los eventos que genera Sysmon. Abre este archivo: C:\Program Files (x86)\ossec-agent\ossec.conf.  Y dentro del bloque <ossec_config>, agrega lo siguiente:

      <localfile>
        <location>Microsoft-Windows-Sysmon/Operational</location>
        <log_format>eventchannel</log_format>
      </localfile>

   6. Por último, reinicia el agente de Wazuh para que todo quede bien aplicado: Restart-Service -Name wazuh.

Con eso ya tienes Sysmon y Wazuh trabajando juntos para ayudarte a detectar cualquier comportamiento sospechoso antes de que Medusa cause estragos.

Servidor de Wazuh

Para poder detectar a Medusa, también es necesario preparar el servidor de Wazuh con reglas personalizadas que identifiquen los comportamientos típicos de este ransomware en equipos con Windows.

Lo primero es crear un nuevo archivo dentro del servidor, en esta ruta: /var/ossec/etc/rules/medusa_ransomware_rules.xml

Luego agrega las siguientes reglas de detección al archivo:

<group name="medusa,ransomware,">

<!--Detects system process termination -->

<rule id="100012" level="2">

<if_sid>61603</if_sid>

<field name="win.eventdata.commandLine" type="pcre2">(?i)taskkill \/F \/IM .*. \/T</field>

<field name="win.eventdata.parentImage" type="pcre2">(?i)[C-Z]:.*\\\\.*.exe</field>

<description>System process terminated using $(win.eventdata.originalFileName). Suspicious activity detected.</description>

<mitre>

<id>T1490</id>

<id>T1059.003</id>

</mitre>

</rule>

<!--Detects multiple system process termination -->

<rule id="100013" level="12" frequency="10" timeframe="300">

<if_matched_sid>100012</if_matched_sid>

<description>Multiple system processes terminated using $(win.eventdata.originalFileName). Suspicious activity detected.</description>

<mitre>

<id>T1490</id>

<id>T1059.003</id>

</mitre>

</rule>

<!--Detects system service termination -->

<rule id="100014" level="2">

<if_sid>92031</if_sid>

<field name="win.eventdata.parentImage" type="pcre2">(?i)[C-Z]:.*\\\\.*.exe</field>

<field name="win.eventdata.commandLine" type="pcre2">(?i)[C-Z]:.*\\\\.*.net.*. stop \\.*.\\" \/y</field>

<description>System service terminated using $(win.eventdata.originalFileName). Suspicious activity detected.</description>

<mitre>

<id>T1490</id>

<id>T1059.003</id>

</mitre>

</rule>

<!--Detects multiple system service termination -->

<rule id="100015" level="12" frequency="60" timeframe="500" ignore="500">

<if_matched_sid>100014</if_matched_sid>

<description>Multiple system services terminated using $(win.eventdata.originalFileName). Suspicious activity detected.</description>

<mitre>

<id>T1490</id>

<id>T1059.003</id>

</mitre>

</rule>

<!-- Ransom note file creation -->

<rule id="100016" level="15" timeframe="200" frequency="2">

<if_sid>61613</if_sid>

<field name="win.eventdata.image" type="pcre2">(?i)[C-Z]:.*\\\\.*.exe</field>

<field name="win.eventdata.targetFilename" type="pcre2">(?i)[C-Z]:.*.\\\\!!!READ_ME_MEDUSA!!!.txt</field>

<description>Medusa ransom note $(win.eventdata.targetFilename) has been created in multiple directories. Possible Medusa ransomware detected.</description>

<mitre>

<id>T1486</id>

</mitre>

</rule>

<rule id="100017" level="15" timeframe="300" frequency="2" ignore="100">

<if_matched_sid>100015</if_matched_sid>

<if_sid>100013</if_sid>

<description>Possible Medusa ransomware detected.</description>

<mitre>

<id>T1486</id>

</mitre>

</rule>

</group>

Podría interesarte leer: Dashboard de Alertas y Notificaciones en Wazuh

¿Cómo elimina Wazuh los archivos maliciosos antes de que hagan daño?

Cuando un ransomware logra ejecutarse, ya es demasiado tarde: el daño está hecho, los archivos están cifrados y recuperar el sistema se vuelve una pesadilla. Por eso, lo ideal es detectar y eliminar el archivo malicioso antes de que se ejecute. Suena bien, ¿no? Pues Wazuh lo hace posible con un enfoque preventivo bastante poderoso.

Lo que se recomienda es activar la protección previa a la ejecución usando el módulo de integridad de archivos (FIM) de Wazuh, combinado con herramientas como VirusTotal o YARA. ¿Cómo funciona? Cada vez que se descarga o crea un archivo nuevo, Wazuh compara su hash contra bases de datos de amenazas conocidas. Si encuentra algo sospechoso, lanza una respuesta automática para borrar ese archivo antes de que se ejecute.

Así lo configuraron con YARA

En esta parte del laboratorio, Wazuh configuró el módulo FIM para vigilar un directorio específico. Cada vez que se crea o modifica un archivo en esa carpeta, se activa una respuesta automática: Wazuh ejecuta un escaneo con YARA, que revisa el archivo usando reglas ya definidas para detectar malware.

Si el archivo pinta mal, el sistema no lo piensa dos veces: lo elimina en automático usando un script de Active Response. Esto evita que el ransomware siquiera tenga oportunidad de ejecutarse.

¿Cómo se prepara el endpoint de Windows para esta integración?

Para que Wazuh pueda usar YARA y detectar archivos maliciosos en un equipo con Windows, primero hay que dejar todo listo en ese equipo. Acá te explicamos paso a paso cómo hacerlo. Antes de empezar, asegúrate de tener lo siguiente:

1. Python 3.12.2 o más reciente. Ya viene con pip, solo asegúrate de marcar la casilla "Add python.exe to PATH" durante la instalación. Esto es clave para que puedas correr scripts desde cualquier parte.

2. Microsoft Visual C++ 2015 Redistributable. Es un requisito para algunos componentes.

Tip: Haz todo esto desde PowerShell como administrador para evitar errores de permisos.

Descarga e instala YARA

1. Descarga YARA con este comando en PowerShell: Invoke-WebRequest -Uri https://github.com/VirusTotal/yara/releases/download/v4.5.2/yara-v4.5.2-2326-win64.zip -OutFile yara.zip.
2. Extrae el ZIP con: Expand-Archive yara.zip
3. Crea la carpeta donde irá el ejecutable de YARA y copia el binario ahí: mkdir 'C:\Program Files (x86)\ossec-agent\active-response\bin\yara\'
   cp .\yara-v4.5.2-2326-win64\yara64.exe 'C:\Program Files (x86)\ossec-agent\active-response\bin\yara\'

Descargar reglas YARA con Valhalla API

Ahora toca descargar las reglas de YARA. Para eso, usamos una pequeña utilidad en Python:

1. Instala la API de Valhalla: pip install valhallaAPI

2. Crea un archivo llamado download_yara_rules.py y pega este script dentro: 
   
   from valhallaAPI.valhalla import ValhallaAPI
   
   v = ValhallaAPI(api_key="1111111111111111111111111111111111111111111111111111111111111111")
   response = v.get_rules_text()
   
   with open('yara_rules.yar', 'w') as fh:
       fh.write(response)
   
   
3. Ejecuta el script para descargar las reglas: python download_yara_rules.py

Copia las reglas al lugar correcto

Una vez que tienes el archivo yara_rules.yar, solo queda moverlo a donde Wazuh lo necesita:

1. Crea la carpeta para las reglas: mkdir 'C:\Program Files (x86)\ossec-agent\active-response\bin\yara\rules\'

2. Copia el archivo de reglas ahí: cp yara_rules.yar 'C:\Program Files (x86)\ossec-agent\active-response\bin\yara\rules\'