La operación de ransomware llamada Medusa inició sus actividades en junio de 2021. Sin embargo, fue en 2023 cuando cobró un impulso significativo, dirigiendo sus ataques a corporaciones a nivel mundial con demandas de rescate que ascienden a millones de dólares. Esta banda de ciberdelincuentes ha incrementado su eficacia y notoriedad con el lanzamiento de un "Blog de Medusa".
Este nuevo espacio digital tiene un propósito claro: atraer la atención de los medios de comunicación al exponer datos de las víctimas que deciden no cumplir con el pago del rescate. Es una táctica que no solo busca presionar a las empresas afectadas, sino también establecer un mensaje de temor y dominancia en el ciberespacio.
Ante esta realidad, es fundamental que las corporaciones y usuarios en general tomen medidas preventivas y estén alerta ante la creciente amenaza que representa Medusa y otros ransomwares similares.
MEDUSA es un grupo y tambien un ransomware, una categoría de software malicioso diseñada para cifrar los datos de los usuarios. Lo particular de MEDUSA es que, tras cifrar dichos datos, añade una extensión ".MEDUSA" a los nombres de los archivos. Además, deposita un archivo llamado "!!!READ_ME_MEDUSA!!!.txt" en el sistema de la víctima, que contiene una nota de rescate solicitando un pago para descifrar la información.
Una ilustración de cómo MEDUSA altera los nombres de los archivos es la siguiente: cambia "1.jpg" por "1.jpg.MEDUSA", "2.png" se transforma en "2.png.MEDUSA" y así con los demás archivos.
En lo que va del año, en América Latina, varias entidades han caído víctimas de este grupo. Aparte del ataque a la Comisión Nacional de Valores de Argentina, el ransomware Medusa también está detrás del asalto cibernético a la empresa argentina Garbarino. Sin embargo, Argentina no es el único país afectado; en el sitio de Medusa se han listado nombres de empresas de Bolivia, Brasil, Chile, Colombia y República Dominicana.
Te podría interesar leer: Una Guía para Proteger Tu Empresa Contra el Ransomware
El mensaje enviado por los atacantes informa que han accedido a la red y copiado la información contenida en ella. Aseguran haberse infiltrado completamente, incluyendo el sistema de respaldo, y haberse apoderado de todos los datos valiosos, los cuales han sido respaldados en un almacenamiento en la nube privado.
De acuerdo con este mensaje, han cifrado todos los archivos en la red con un algoritmo de encriptación de alta seguridad. Sin la intervención de los atacantes, la víctima no podrá recuperar la información. Estos ciberdelincuentes prometen ofrecer el descifrado si la víctima se comunica con ellos y paga por las herramientas y claves para hacerlo.
El mensaje también lanza una advertencia: si no se realiza el pago en un plazo de tres días, toda la información será divulgada al público. Finalmente, dan detalles de cómo pueden ser contactados, ya sea a través de un chat en directo, mediante el software de chat Tox o a través de su correo electrónico (medusa.serviceteam@protonmail.com).
La proliferación de ataques de ransomware en los últimos tiempos ha convertido la ciberseguridad en un tema crucial. A continuación, te ofrecemos algunas recomendaciones para protegerte de estas amenazas:
1. Correo Electrónico: Examina detenidamente los correos electrónicos sospechosos, en especial aquellos provenientes de direcciones desconocidas. Evita abrir archivos adjuntos o hacer clic en enlaces si no estás seguro de su origen.
2. Descargas de Software: Prioriza descargar software solo desde páginas oficiales y tiendas reconocidas. Mantente alejado de descargas de páginas dudosas, descargadores de terceros, redes P2P o enlaces sospechosos.
3. Publicidad en Internet: Desconfía de anuncios en sitios web de reputación cuestionable. Estos pueden ser una puerta de entrada para malware y otras amenazas.
4. Actualizaciones: Mantén tu sistema operativo y tus programas actualizados. Muchas veces, los ciberdelincuentes explotan vulnerabilidades en software obsoleto para infiltrar sistemas.
5. Escaneo Regular: Es fundamental realizar análisis periódicos en tu computadora en busca de amenazas. Utilizar software antivirus de confianza puede ayudarte a detectar y prevenir infecciones de ransomware y otras amenazas.
Recordar y aplicar estos consejos puede ser la diferencia entre mantener tus datos seguros o enfrentar una situación de riesgo. ¡La prevención es la mejor herramienta!
Utilizando el código a continuación (basado en reglas YARA), es posible identificar y contrarrestar el ransomware Medusa:
win.medusa_auto.yar
rule win_medusa_auto {
meta:
author = "Felix Bilstein - yara-signator at cocacoding dot com"
date = "2023-03-28"
version = "1"
description = "Detects win.medusa."
info = "autogenerated rule brought to you by yara-signator"
tool = "yara-signator v0.6.0"
signator_config = "callsandjumps;datarefs;binvalue"
malpedia_reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.medusa"
malpedia_rule_date = "20230328"
malpedia_hash = "9d2d75cef573c1c2d861f5197df8f563b05a305d"
malpedia_version = "20230407"
malpedia_license = "CC BY-SA 4.0"
malpedia_sharing = "TLP:WHITE"
}
Te podría interesar leer: Detecta y Combate el Malware con Reglas Yara
Vivimos en una era donde la seguridad informática es esencial. A continuación, te presentamos algunas medidas para proteger tus datos y sistemas:
1. Plan de Recuperación: Mantén múltiples copias de datos sensibles o propietarios y servidores en un lugar separado, segmentado y seguro, ya sea en un disco duro, dispositivo de almacenamiento o en la nube.
2. Segmentación de Red: Implementa la segmentación de red y guarda copias de seguridad de los datos de forma offline para garantizar una mínima interrupción a la organización.
3. Copias de Seguridad: Realiza copias de seguridad de tus datos regularmente y protege estas copias con contraseña en un almacenamiento offline. Asegúrate de que las copias de datos cruciales no se puedan modificar o eliminar del sistema donde se encuentren.
4. Antivirus: Instala, actualiza constantemente y activa la detección en tiempo real de software antivirus en todos los dispositivos.
5. Revisión de Servidores: Verifica controladores de dominio, servidores, estaciones de trabajo y directorios activos en busca de cuentas nuevas o no reconocidas.
6. Privilegios Administrativos: Audita las cuentas de usuario con privilegios administrativos y configura controles de acceso basándote en el principio de mínimos privilegios.
7. Puertos: Desactiva los puertos que no estén en uso.
8. Autenticación: Implementa la Autenticación Multifactorial (MFA).
9. Políticas de Contraseñas: Utiliza estándares del Instituto Nacional de Estándares y Tecnología (NIST) para crear y gestionar políticas de contraseñas. Se recomienda que tus contraseñas contengan una mezcla de letras mayúsculas y minúsculas, números y caracteres especiales, y que tengan una longitud de entre 8 y 64 caracteres.
10. Gestión de Contraseñas: Almacena las contraseñas en formato cifrado utilizando gestores de contraseñas reconocidos por la industria.
Te podría interesar leer: Azure AD: Implementación de Políticas de Contraseñas
Estas recomendaciones son esenciales para mantener tus sistemas y datos seguros en el actual panorama de amenazas cibernéticas.