La Unidad 42, división de investigación de Palo Alto Networks, ha identificado una escalada en las actividades maliciosas del ransomware del grupo Medusa. Este grupo ha cambiado su estrategia hacia tácticas de extorsión, caracterizadas por la creación de una web dedicada a filtraciones (DLS) denominada Medusa Blog.
Los actores de la amenaza Medusa utilizan esta web para revelar datos confidenciales de las víctimas que no estén dispuestas a cumplir con sus peticiones de rescate. Como parte de su estrategia de extorsión múltiple, este grupo ofrece a las víctimas múltiples opciones cuando sus datos se publican en su DLS, tales como la ampliación del plazo o bien la eliminación y la descarga de todos sus datos. Todas estas opciones tienen un precio concreto dependiendo de la organización afectada por el grupo.
En su análisis, la Unidad 42 determinó que el ransomware Medusa afectó a 74 organizaciones de todo el mundo en 2023 aproximadamente. Los más afectados han sido los sectores tecnológicos, educativos y de fabricación.
Además de la estrategia de utilizar una web .onion para extorsionar, los actores de Medusa también aprovechan un canal público de Telegram llamado "soporte de información", donde se han compartido públicamente archivos de organizaciones comprometidas.
La aparición del ransomware Medusa a finales de 2022 y su notoriedad en 2023 marcan un avance significativo en el panorama del ransomware. Este nuevo estudio determina la aparición de métodos de propagación complejos que aprovechan tanto las vulnerabilidades del sistema como los intermediarios de acceso, a la vez que evitan hábilmente la detección.
En definitiva, el blog de Medusa supone una evolución táctica hacia la multiextorsión en la que el grupo emplea tácticas de presión sobre sus víctimas a través de peticiones de rescate publicadas en Internet.
Detalles:
Recomendaciones:
Conclusiones:
La aparición del ransomware Medusa representa un avance significativo en el panorama del ransomware. Este grupo ha adoptado una estrategia de extorsión múltiple que utiliza la publicación de datos confidenciales para presionar a sus víctimas. Las organizaciones deben estar preparadas para esta nueva amenaza y tomar medidas para protegerse contra el ransomware.
Los actores de la amenaza Medusa utilizan esta web para revelar datos confidenciales de las víctimas que no estén dispuestas a cumplir con sus peticiones de rescate. Como parte de su estrategia de extorsión múltiple, este grupo ofrece a las víctimas múltiples opciones cuando sus datos se publican en su DLS, tales como la ampliación del plazo o bien la eliminación y la descarga de todos sus datos. Todas estas opciones tienen un precio concreto dependiendo de la organización afectada por el grupo.
En su análisis, la Unidad 42 determinó que el ransomware Medusa afectó a 74 organizaciones de todo el mundo en 2023 aproximadamente. Los más afectados han sido los sectores tecnológicos, educativos y de fabricación.
Además de la estrategia de utilizar una web .onion para extorsionar, los actores de Medusa también aprovechan un canal público de Telegram llamado "soporte de información", donde se han compartido públicamente archivos de organizaciones comprometidas.
La aparición del ransomware Medusa a finales de 2022 y su notoriedad en 2023 marcan un avance significativo en el panorama del ransomware. Este nuevo estudio determina la aparición de métodos de propagación complejos que aprovechan tanto las vulnerabilidades del sistema como los intermediarios de acceso, a la vez que evitan hábilmente la detección.
En definitiva, el blog de Medusa supone una evolución táctica hacia la multiextorsión en la que el grupo emplea tácticas de presión sobre sus víctimas a través de peticiones de rescate publicadas en Internet.
Detalles:
- Métodos de propagación:
- Vulnerabilidades del sistema: el ransomware Medusa puede propagarse a través de vulnerabilidades del sistema, como la vulnerabilidad Log4j.
- Intermediarios de acceso: el ransomware Medusa también puede propagarse a través de intermediarios de acceso, como los correos electrónicos de phishing o los ataques de fuerza bruta.
- Tácticas de extorsión:
- Publicación de datos confidenciales: el ransomware Medusa puede publicar datos confidenciales de las víctimas en su web dedicada a filtraciones (DLS).
- Extorsión múltiple: el ransomware Medusa ofrece a las víctimas múltiples opciones cuando sus datos se publican en su DLS, tales como la ampliación del plazo o bien la eliminación y la descarga de todos sus datos.
- Impacto:
- El ransomware Medusa ha afectado a 74 organizaciones de todo el mundo en 2023 aproximadamente.
- Los sectores más afectados han sido los tecnológicos, educativos y de fabricación.
Recomendaciones:
- Palo Alto Networks recomienda a sus clientes que utilicen Cortex XDR y los servicios de seguridad en la nube WildFire para firewall de última generación para protegerse contra el ransomware Medusa.
- Cortex XDR incluye protecciones que evitaron el comportamiento adverso de las muestras del ransomware Medusa.
- Cortex Xpanse puede utilizarse para detectar servicios vulnerables y expuestos directamente a Internet que puedan ser explotables e infectados por Medusa u otro ransomware.
Conclusiones:
La aparición del ransomware Medusa representa un avance significativo en el panorama del ransomware. Este grupo ha adoptado una estrategia de extorsión múltiple que utiliza la publicación de datos confidenciales para presionar a sus víctimas. Las organizaciones deben estar preparadas para esta nueva amenaza y tomar medidas para protegerse contra el ransomware.