 |
|
|
El ransomware Medusa, recientemente destacado por los analistas de Unit 42, es una amenaza creciente en el panorama de la ciberseguridad y se posiciona como la amenaza crítica por defecto desde principios de 2023.
Una vez secuestrados los datos, el grupo Medusa exige el pago de un rescate para liberar la información. En caso de incumplimiento, toda la información robada se publica en un video realizado por el grupo, lo que intensifica la presión sobre las víctimas, maximizando la extorsión y minimizando el tiempo de respuesta tanto para los afectados como para las autoridades.
Una multinacional chilena de servicios de TI fue víctima de Medusa Ransomware en abril del año pasado, oportunidad en que los cibercriminales solicitaron un monto de rescate de los archivos cercano a los 2 millones de dólares y la extensión del plazo rondaba los diez mil dólares diarios.
Si bien los ejecutivos de la compañía dicen no haber sufrido pérdidas sustanciales de su información o la de sus clientes, esto le significó un bloqueo del 2% de sus estaciones de trabajo y la interrupción de sus operaciones internas en Chile.
“Medusa family, a diferencia de otros grupos, efectúa varias acciones simultáneamente para atacar a sus víctimas. Mientras se encuentran bajo amenaza, los afectados pueden optar por diferentes caminos como la ampliación del plazo, el borrado selectivo de datos o la descarga completa de la información comprometida, cada una de ellas asociada a un precio variable”, afirma Mauricio Ramírez, Country Manager de Palo Alto Networks en Chile.
Por si esto fuera poco, el grupo utiliza el canal público de Telegram denominado “soporte de información” para compartir archivos de organizaciones comprometidas, lo que las hace más accesibles que las plataformas tradicionales de la dark web. ”Utilizan su plataforma para atacar y exponer a sus víctimas de forma simultánea. Los afectados no solo sufren el secuestro de datos, sino que también el riesgo de que su información y la de sus clientes sean divulgadas públicamente", enfatiza Ramírez.
Los investigadores de Unit 42 identificaron las tácticas, herramientas y procedimientos empleados por el grupo. "A través de Cortex XDR, una herramienta de detección que integra de forma nativa, redes, puntos de acceso y la nube, así como de WildFire, que utiliza aprendizaje automático e inteligencia colectiva para prevenir las amenazas, hemos fortalecido la protección de los servicios en la nube para mitigar posibles amenazas de Medusa y otras organizaciones que persiguen acceder a datos críticos de nuestros clientes o evitar secuestros de información", añade Mauricio Ramírez.
Medusa surgió siendo una plataforma de ransomware, mejor dicho, como servicio (RaaS) a finales de 2022, ganando notoriedad en 2023, esto debido a que apuntó principalmente a entornos de Windows. A diferencia de MedusaLocker, presente desde 2019, el cual era en general para todo tipo de sistemas operativos. El último análisis realizado de Unit 42 se centra en el ransomware Medusa, identificando que el nuevo foco de este ransomware fue el de seguir una ruta exclusiva de impacto solo a organizaciones que utilizan Windows.
El grupo propaga la amenaza explotando servicios vulnerables y secuestrando cuentas legítimas, empleando intermediarios para el acceso inicial. El equipo de Unit 42 observó una escalada en las actividades, marcada por el lanzamiento del Blog de Medusa en 2023, intensificando las tácticas de multiextorsión.
También se observó que el ransomware Medusa implementa la técnica de living-off-the-land, utilizando software legítimo para fines maliciosos, a menudo mezclándose con el tráfico y el comportamiento regular, lo que hace que sea más difícil identificar estas actividades, puesto que se acopla a funciones habituales, logrando una permeabilidad e infiltración táctica meticulosa.
"El análisis técnico reveló estrategias de explotación diferenciadas, incluyendo el uso de webshells, que son programas maliciosos que permiten a los atacantes controlar servidores web y ejecutar comandos no autorizados", concluye Mauricio Ramírez.
|
