El ransomware Medusa se ha convertido en una seria amenaza para la seguridad de organizaciones en sectores clave. Según la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), esta operación maliciosa ha afectado a más de 300 entidades de infraestructura crítica en Estados Unidos hasta febrero de 2025.
Este alarmante dato fue revelado en un aviso conjunto emitido por la CISA, el Buró Federal de Investigaciones (FBI) y el Centro de Análisis e Intercambio de Información Multiestatal (MS-ISAC), quienes advirtieron que Medusa ha golpeado sectores vitales como la salud, la educación, el derecho, los seguros, la tecnología y la manufactura. Esta creciente amenaza no solo cifra datos esenciales, sino que también compromete la estabilidad operativa de empresas e instituciones clave.
Medusa no solo es el nombre de un ransomware, sino también de un grupo criminal detrás de esta peligrosa amenaza. Este tipo de malware está diseñado para secuestrar los datos de sus víctimas mediante cifrado, bloqueando el acceso a la información hasta que se pague un rescate.
Una de las particularidades de Medusa es que, al cifrar los archivos, les agrega la extensión ".MEDUSA". Por ejemplo, un archivo llamado `1.jpg` se convierte en `1.jpg.MEDUSA`, y uno llamado `2.png` pasaría a ser `2.png.MEDUSA`. Además, el ransomware deja un archivo llamado "!!!READ_ME_MEDUSA!!!.txt" en el sistema infectado, donde se detalla la cantidad de dinero que los atacantes exigen para restaurar los datos.
Conoce más sobre: Medusa Ransomware: Del Hackeo a la Extorsión Masiva
El ransomware Medusa apareció por primera vez en enero de 2021, pero la actividad del grupo se reactivó en 2023, cuando lanzaron el sitio Medusa Blog. Esta plataforma se utiliza para presionar a las víctimas a pagar el rescate, publicando información robada como medida de chantaje.
Desde su aparición, este grupo ha atacado a más de 400 víctimas en todo el mundo. Uno de los incidentes más notorios ocurrió en marzo de 2023, cuando se atribuyeron el ataque al distrito de Escuelas Públicas de Minneapolis (MPS) y hasta publicaron un video mostrando los datos robados como parte de su estrategia de extorsión.
En noviembre de 2023, filtraron supuestos archivos robados de Toyota Financial Services, una filial de Toyota Motor Corporation, luego de que la empresa se negara a pagar un rescate de 8 millones de dólares. Tras el incidente, Toyota alertó a sus clientes sobre la violación de datos.
Medusa comenzó como un ransomware "cerrado", es decir, que un solo grupo controlaba tanto el desarrollo del malware como sus ataques. Sin embargo, con el tiempo evolucionó hacia un modelo de ransomware como servicio (RaaS). Esto significa que ahora trabajan con afiliados externos, aunque sus desarrolladores aún manejan aspectos clave, como las negociaciones para el pago de rescates.
Para acceder a sus víctimas, el grupo de Medusa suele contratar a intermediarios de acceso inicial (IAB) en foros y mercados clandestinos. A estos colaboradores se les ofrece una ganancia que puede ir desde 100 dólares hasta 1 millón, además de la posibilidad de trabajar en exclusiva para Medusa.
Es importante destacar que el nombre "Medusa" también se ha utilizado para otras amenazas digitales. Existen, por ejemplo, una botnet basada en Mirai con funciones de ransomware y una operación de malware como servicio (MaaS) para Android descubierta en 2020, conocida como TangleBot.
Esta coincidencia en los nombres ha generado cierta confusión, especialmente porque algunos piensan que el ransomware Medusa está relacionado con MedusaLocker, otra operación completamente diferente. Por si fuera poco, el mes pasado la CISA y el FBI emitieron una nueva alerta advirtiendo que otro ransomware llamado Ghost ha atacado a organizaciones de infraestructura crítica en más de 70 países.
El FBI, la CISA y el MS-ISAC están pidiendo a las organizaciones que sigan las recomendaciones de la sección "Mitigaciones" de su último informe para reducir el riesgo y el impacto de los ataques del ransomware Medusa.
Según el aviso de las autoridades, se recomienda seguir estas acciones clave para protegerse del ransomware Medusa:
Además de estas medidas, también es clave contar con soluciones de ciberseguridad avanzadas, como TecnetProtect, que ofrece una defensa completa contra el ransomware. Esta herramienta incluye sistemas de protección antiransomware, copias de seguridad automatizadas y almacenamiento seguro de datos, lo que permite recuperar la información rápidamente en caso de un ataque. Adoptar herramientas como TecnetProtect, junto con estas buenas prácticas, puede marcar la diferencia a la hora de proteger tu organización frente a esta creciente amenaza.