El ransomware Medusa, recientemente destacado por los analistas de Unit 42, la unidad de investigación de Palo Alto Networks, es una amenaza creciente en el panorama de la ciberseguridad. Este grupo malicioso, conocido como la familia Medusa, ganó notoriedad al presentar Medusa Blog a principios de 2023, marcando un cambio en sus tácticas de extorsión. La familia Medusa tuvo un exitoso historial con MedusaLocker en años anteriores, pero ahora, con el ransomware Medusa, han emergido como una amenaza prominente desde principios de 2023.

El año pasado, empresas y organismos argentinos sufrieron ataques de ransomware como la Comisión Nacional de Valores (CNV), víctima de un ataque por parte de la familia Medusa, que derivó en el cifrado de los archivos en los equipos infectados y en el robo de información. El grupo extorsionó a la CNV para que pague un rescate de 500 mil dólares en Bitcoin, pero al no cumplir con el plazo de pago, el grupo finalmente publicó los datos sustraídos con más de 1,5 terabytes de información robada (documentos, bases de datos, etc.) 

Este malware es altamente peligroso y puede impedir la restauración del sistema. Una vez secuestrados los datos, el grupo Medusa exige el pago de un rescate para liberar la información. En caso de incumplimiento, toda la información robada se publica en un vídeo realizado por el grupo, lo que intensifica la presión sobre las víctimas.

“Utilizando el Medusa Blog como plataforma, el grupo Medusa ha adoptado una estrategia de extorsión múltiple. Las víctimas que se niegan a cumplir las exigencias del grupo tienen la opción de elegir entre diferentes alternativas, como la ampliación del plazo, el borrado selectivo de datos o la descarga completa de la información comprometida, cada una de ellas asociada a un precio variable”, afirma Dario Opezzo, Regional Sales Manager de Palo Alto Networks en Argentina.

Además, el grupo utiliza el canal público de Telegram denominado “soporte de información” para compartir archivos de organizaciones comprometidas, lo que las hace más accesibles que las plataformas tradicionales de la web oscura.

En respuesta a un incidente de ransomware Medusa, los investigadores de Unit 42 identificaron las tácticas, herramientas y procedimientos empleados por el grupo. “Los clientes de Palo Alto Networks pueden confiar en los servicios de seguridad en la nube Cortex XDR y WildFire para mitigar las amenazas planteadas por el grupo Medusa. Estas medidas son cruciales para defender a las organizaciones de las actividades maliciosas de este grupo y proteger los datos sensibles de posibles secuestros”, añade Opezzo.

Visión general del ransomware como servicio Medusa

Medusa surgió como una plataforma de ransomware como servicio (RaaS) a finales de 2022, ganando notoriedad en 2023 al dirigirse principalmente a entornos Windows. A diferencia de MedusaLocker, presente desde 2019, el análisis de Unit 42 se centra en el ransomware Medusa, impactando en organizaciones que utilizan Windows.

El grupo propaga su ransomware explotando servicios vulnerables y secuestrando cuentas legítimas, empleando intermediarios para el acceso inicial. El equipo de Unit 42 observó una escalada en las actividades, marcada por el lanzamiento del Blog de Medusa en 2023, intensificando las tácticas de multiextorsión.

También se observó que el ransomware Medusa implementa la técnica de living-off-the-land, utilizando software legítimo para fines maliciosos, a menudo mezclándose con el tráfico y el comportamiento regular, lo que hace que sea más difícil identificar estas actividades.

“Basándonos en el Blog de Medusa, identificamos que el ransomware impactó a aproximadamente 74 organizaciones a nivel mundial en 2023, afectando a sectores como la alta tecnología, la educación y la fabricación. El análisis técnico reveló estrategias de explotación diferenciadas, incluyendo el uso de webshells, que son programas maliciosos que permiten a los atacantes controlar servidores web y ejecutar comandos no autorizados”, concluye el ejecutivo.

About The Author

Redacción Economis

See author's posts