Tras el debut en febrero de 2023 de un sitio en la web oscura dedicado a la filtración de datos, los actores de amenazas vinculados al ransomware Medusa han incrementado sus actividades. Publican datos confidenciales de las víctimas que se niegan a aceptar sus demandas.
A finales de 2022, Medusa se manifestó como una plataforma de ransomware como servicio (RaaS) y alcanzó prominencia a principios de 2023, focalizándose principalmente en entornos Windows. Es importante no confundir a Medusa con otro RaaS de nombre similar, MedusaLocker, el cual ha estado en circulación desde 2019.
Medusa, como operación de extorsión múltiple, presiona a las víctimas para que paguen el rescate con información clave, como la etiqueta de precio, el tiempo restante antes de la publicación de datos robados, el número de visitantes en el sitio y detalles identificativos de la víctima.
Además del rescate principal, ofrecen opciones adicionales, como una tarifa de extensión de tiempo, solicitud de eliminación de datos o la opción de descarga, con precios variables según la organización.
En el año 2023, alrededor de 74 organizaciones, mayormente ubicadas en Estados Unidos, Reino Unido, Francia, Italia, España e India, sufrieron impactos a causa del ransomware. Los sectores más afectados incluyen la alta tecnología, la educación y la fabricación. Sin embargo, la amplia gama de sectores afectados destaca la naturaleza oportunista de este grupo, que es característica de muchas operaciones de ransomware.
Según Unit 42, no solo tiene un equipo de medios para probablemente manejar sus esfuerzos de marca, sino que también aprovecha un canal público de Telegram llamado “soporte de información”, donde los archivos de las organizaciones comprometidas se comparten y se puede acceder a ellos a través de clearnet.
El canal de Telegram "soporte de información" se creó en julio de 2021.
"El surgimiento del ransomware Medusa a finales de 2022 y su destacada presencia en 2023 representan un hito importante en el panorama del ransomware", señalaron los investigadores. "Esta operación exhibe métodos de propagación complejos, aprovechando tanto las vulnerabilidades del sistema como los intermediarios de acceso inicial, al tiempo que elude hábilmente la detección mediante el uso de técnicas 'living-off-the-land'.
El blog de Medusa significa una evolución táctica hacia la extorsión múltiple.
El ascenso del ransomware Medusa representa una amenaza sofisticada y en constante evolución en el panorama cibernético. Con su enfoque en la extorsión múltiple y métodos avanzados de propagación, es crucial que las organizaciones refuercen sus medidas de seguridad y colaboren para enfrentar esta creciente vulnerabilidad digital.
La defensa contra tales ataques no solo requiere tecnología avanzada, sino también una respuesta unificada y proactiva en el ámbito de la seguridad cibernética.
En Never Off Technology, nos enorgullece ofrecerte soluciones sólidas para proteger tu empresa contra las nuevas ciberamenazas. En asociación con SentinelOne, líder en la redefinición de la ciberseguridad a través de tecnologías autónomas de vanguardia.