Varias agencias federales de EE. UU. emitieron una advertencia conjunta sobre Medusa, una ciberamenaza de ransomware como servicio (RaaS) que se identificó por primera vez en junio de 2021.
RaaS es un modelo de negocio en el que los desarrolladores venden herramientas de ransomware a terceros que luego lanzan ataques contra los objetivos.
“Hasta febrero de 2025, los desarrolladores y afiliados de Medusa han afectado a más de 300 víctimas de una variedad de sectores de infraestructura crítica”, señaló el aviso del 12 de marzo , publicado por la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA).
Las industrias a las que se dirige Medusa incluyen tecnología, medicina, seguros, manufactura, asesorías legales y educación.
El aviso decía que los actores de Medusa (desarrolladores y afiliados que usan el servicio) implementan un “modelo de doble extorsión, donde las víctimas deben pagar para descifrar los archivos y evitar una mayor divulgación” de los datos robados.
La nota de rescate exige que las víctimas se pongan en contacto dentro de las 48 horas siguientes a la llamada, ya sea a través de un chat en vivo basado en el navegador Tor o a través de Tox, una plataforma de mensajería instantánea cifrada de extremo a extremo.
"Si la víctima no responde a la nota de rescate, los actores de Medusa se comunicarán con ella directamente por teléfono o correo electrónico", dijeron las agencias.
El aviso conjunto fue emitido por CISA, el FBI y el Centro de Análisis e Intercambio de Información Multiestatal para difundir tácticas conocidas, procedimientos y otra información útil relacionada con Medusa.
Medusa administra un sitio web de filtración de datos que informa sobre sus víctimas y el tiempo que les queda para pagar el rescate, junto con enlaces a billeteras de criptomonedas.
Mientras la cuenta regresiva continúa, Medusa también anuncia la venta de los datos robados a cualquiera que desee comprarlos. Para extender la cuenta regresiva un día, las víctimas suelen tener que pagar 10,000 dólares en criptomonedas.
«Las investigaciones del FBI identificaron que, tras pagar el rescate, una víctima fue contactada por un actor de Medusa distinto que afirmó que el negociador había robado la cantidad del rescate ya pagada». Este actor «solicitó que se volviera a realizar la mitad del pago para proporcionar el 'verdadero descifrador', lo que podría indicar un esquema de extorsión triple», decía el aviso.
Para protegerse de Medusa, las organizaciones deben mitigar las vulnerabilidades conocidas en sus sistemas, aconsejaron las agencias. Esto incluye parchear el firmware, el software y los sistemas operativos.
Todas las cuentas de la red que tengan contraseñas de inicio de sesión deben estar obligadas a cumplir con las normas del Instituto Nacional de Estándares y Tecnología.
«En particular, exija a los empleados que utilicen contraseñas largas y considere la posibilidad de no exigir cambios frecuentes de contraseña, ya que pueden debilitar la seguridad», aconsejaron las agencias.
Según un informe del 25 de febrero de la empresa de ciberseguridad Barracuda, Medusa opera potencialmente desde Rusia o un estado aliado, dado que el grupo está activo en foros rusos de ciberdelincuencia, y sus miembros utilizan jerga de la subcultura criminal rusa en sus conversaciones.
La mayoría de las víctimas del grupo son de Estados Unidos, Canadá, Francia, Reino Unido, Australia e Italia.
No hay pruebas de que Medusa sea una rama o un cambio de marca de un grupo anterior. Medusa parece funcionar de forma independiente, operando con su propia infraestructura, dijo Barracuda.
El aviso conjunto forma parte de la iniciativa #StopRansomware de la CISA y el FBI que tiene como objetivo «publicar avisos para los defensores de la red que detallen información de defensa de la red relacionada con diversas variantes de ransomware y actores de amenazas», según un informe de octubre de 2023.
En el marco de esta iniciativa, el mes pasado se publicó un aviso conjunto sobre la amenaza del ransomware «Ghost». El informe afirma que los actores de Ghost, ubicados en China, han puesto en peligro a organizaciones de más de 70 países.
Los actores de amenazas utilizan código disponible públicamente para explotar «vulnerabilidades y exposiciones comunes» de los objetivos y así obtener acceso a sus servidores. Entre sus objetivos se encuentran infraestructuras críticas, redes gubernamentales, atención sanitaria y empresas tecnológicas.
Únase a nuestro canal de Telegram para recibir las últimas noticias al instante haciendo click aquí
