Los desarrolladores de Medusa han estado atacando una amplia variedad de sectores de infraestructura crítica, desde la atención médica y la tecnología hasta la fabricación y los seguros, aumentando su número de víctimas a medida que aparentemente aumenta el número de afiliados.

En una alerta conjunta, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), el FBI y el Centro de Análisis de Intercambio de Información Multiestatal (MS-ISAC) publicaron un nuevo aviso #StopRansomware advirtiendo al público sobre los ataques del ransomware Medusa.

Medusa es una variante de ransomware como servicio (RaaS) que se observó por primera vez en 2021. Desde entonces, sus desarrolladores y afiliados han afectado a más de 300 víctimas, muchas de ellas pertenecientes a diversos sectores de infraestructura crítica, como la salud, el derecho, la educación, los seguros, la tecnología y la manufactura.

Medusa comenzó inicialmente como una variante cerrada de ransomware, controlando su desarrollo y operaciones. Posteriormente, evolucionó a un modelo de afiliados, aunque ciertas operaciones, como la negociación de rescates, aún están bajo el control de los desarrolladores. 

Los desarrolladores de Medusa exigen rescates que oscilan entre los 100.000 y los 15 millones de dólares, y realizan ataques de doble extorsión robando datos antes de cifrar las redes de las víctimas para presionarlas a pagar el rescate. El equipo de Symantec publicó una entrada de blog la semana pasada advirtiendo sobre un repunte en los ataques de Medusa durante el último año.

Los desarrolladores de Medusa han utilizado Intermediarios de Acceso Inicial (IAB) en foros y mercados de cibercriminales para obtener acceso a las redes de sus víctimas. A los IAB se les ofrecen entre 100 y 1 millón de dólares para trabajar exclusivamente para Medusa y utilizar campañas de phishing y explotar vulnerabilidades para acceder a las redes e infectar sistemas. Los afiliados de Medusa también utilizan técnicas de "Living off the Land" (LotL) y herramientas legítimas para el reconocimiento, la evasión de la detección, la exfiltración de datos y el movimiento lateral en entornos comprometidos. 

Los afiliados de Medusa utilizan diversas herramientas de acceso remoto, como Fortinet EMS SQL injection flaw (CVE-2023-48788), ScreenConnect authentication bypass (CVE-2024-1709), AnyDesk, Atera y ConnectWise, para infiltrarse en las redes. También emplean técnicas avanzadas para evadir la detección, como scripts ofuscados de PowerShell, la desactivación de sistemas de detección de endpoints y el uso de herramientas de tunelización inversa como Ligolo y Cloudflared.

Las víctimas son presionadas para pagar en un plazo de 48 horas a través de un chat en vivo basado en Tor o plataformas de mensajería cifrada. Si se ignoran, los actores de Medusa filtran los datos robados en su sitio web de la darknet y los ofrecen a la venta antes de que finalice la cuenta regresiva.

Los informes sugieren que, incluso después del pago del rescate, las víctimas podrían enfrentarse a demandas adicionales de extorsión por parte de diferentes actores de Medusa.

"Los defensores tienen mucho trabajo para afrontar la presencia de Medusa, y las recomendaciones de mitigación, que incluyen la implementación de parches de software, la segmentación de la red y el bloqueo del acceso a servicios desde fuentes desconocidas o no confiables, ayudarán a las organizaciones a mejorar su resiliencia operativa", declaró Dan Lattimer, vicepresidente de área de Semperis para Reino Unido e Irlanda, en un comunicado enviado por correo electrónico a Dark Reading. "Además, las organizaciones deben adoptar una mentalidad de 'brecha asumida', ya que las empresas que operan bajo la premisa de que sus sistemas han sido o serán comprometidos cambian el enfoque de la prevención a la detección, respuesta y recuperación rápida".

Fuente: DarkReading

 Vía:

https://blog.segu-info.com.ar/2025/03/el-fbi-y-la-cisa-alertan-ante-el.html