Expertos de Unit 42, la unidad de investigación de Palo Alto Networks, han identificado que el ransomware impactó en aproximadamente 74 organizaciones a nivel mundial en 2023, afectando a sectores como la alta tecnología, educación y la industria de la manufactura.
El ransomware Medusa, recientemente destacado por los analistas de Unit 42, es una amenaza creciente en el panorama de la ciberseguridad. Perteneciente al grupo conocido como Familia Medusa, ganó notoriedad al presentar Medusa Blog a principios de 2023, marcando un cambio en sus tácticas de extorsión. Con un historial de éxito en los últimos años gracias a MedusaLocker, ahora, con el ransomware Medusa siendo tendencia, se posiciona como la amenaza crítica por defecto desde principios de 2023.
Este malware es altamente peligroso y puede impedir la restauración del sistema. Es decir que, una vez secuestrados los datos, el grupo Medusa exige el pago de un rescate para liberar la información. En caso de incumplimiento, toda la información robada se publica en un vídeo realizado por el grupo, lo que intensifica la presión sobre las víctimas, maximizando la extorsión y minimizando el tiempo de respuesta tanto para los afectados como para las autoridades.
Ampliamente conocido fue el caso de una multinacional chilena de servicios de TI, que fue víctima de Medusa Ransomware en abril del año pasado. En aquella oportunidad, los cibercriminales solicitaron un monto de rescate de los archivos cercano a los 2 millones de dólares y la extensión del plazo rondaba los diez mil dólares diarios.
Si bien los ejecutivos de la compañía dicen no haber sufrido pérdidas sustanciales de su información o la de sus clientes, esto le significó un bloqueo del 2 % de sus estaciones de trabajo y la interrupción de sus operaciones internas en Chile.
“Medusa family, a diferencia de otros grupos, efectúa varias acciones simultáneamente para atacar a sus víctimas. Mientras se encuentran bajo amenaza, los afectados pueden optar por diferentes caminos como la ampliación del plazo, el borrado selectivo de datos o la descarga completa de la información comprometida, cada una de ellas asociada a un precio variable”, afirma Mauricio Ramírez, Country Manager de Palo Alto Networks en Chile.
Por si esto fuera poco, el grupo utiliza el canal público de Telegram denominado “soporte de información” para compartir archivos de organizaciones comprometidas, lo que las hace más accesibles que las plataformas tradicionales de la dark web.”Utilizan su plataforma para atacar y exponer a sus víctimas de forma simultánea. Los afectados no solo sufren el secuestro de datos, sino que también el riesgo de que su información y los de sus clientes, sean divulgados públicamente“, enfatiza Ramírez.
En respuesta a un incidente de ransomware Medusa, los investigadores de Unit 42 identificaron las tácticas, herramientas y procedimientos empleados por el grupo. “A través de Cortex XDR, una herramienta de detección que integra de forma nativa, redes, puntos de acceso y la nube, así como de WildFire, que utiliza aprendizaje automático e inteligencia colectiva para prevenir las amenazas, hemos fortalecido la protección de los servicios en la nube para mitigar posibles amenazas de Medusa y otras organizaciones que persiguen acceder a datos críticos de nuestros clientes o evitar secuestros de información”, añade Mauricio Ramírez.
Visión general del ransonware Medusa como servicio.
Medusa surgió siendo una plataforma de ransomware, mejor dicho, como servicio (RaaS) a finales de 2022, ganando notoriedad en 2023, esto debido a que apuntó principalmente a entornos de Windows. A diferencia de MedusaLocker, presente desde 2019, el cual era en general para todo tipo de sistemas operativos. El último análisis realizado de Unit 42 se centra en el ransomware Medusa, identificando que el nuevo foco de este ransomware fue el de seguir una ruta exclusiva de impacto solo a organizaciones que utilizan Windows.
El grupo propaga la amenaza explotando servicios vulnerables y secuestrando cuentas legítimas, empleando intermediarios para el acceso inicial. El equipo de Unit 42 observó una escalada en las actividades, marcada por el lanzamiento del Blog de Medusa en 2023, intensificando las tácticas de multiextorsión.
También se observó que el ransomware Medusa implementa la técnica de living-off-the-land, utilizando software legítimo para fines maliciosos, a menudo mezclándose con el tráfico y el comportamiento regular, lo que hace que sea más difícil identificar estas actividades, puesto que se acopla a funciones habituales, logrando una permeabilidad e infiltración táctica meticulosa.
“El análisis técnico reveló estrategias de explotación diferenciadas, incluyendo el uso de webshells, que son programas maliciosos que permiten a los atacantes controlar servidores web y ejecutar comandos no autorizados“, concluye Mauricio. Siendo, sin lugar a dudas, una de las amenazas más importantes en lo que va de año y la principal alerta para tener en cuenta en el mundo digital.
