El grupo Medusa intensifica sus actividades de 'ransomware'
Un nuevo sitio de extorsión ofrece a las víctimas múltiples formas de pagar rescates.
Un grupo de ransomware de rápido crecimiento está intensificando sus actividades y ha lanzado un blog que ofrece a las víctimas variedades de opciones de pago, según un informe de Unit 42 de Palo Alto Networks. El grupo utiliza esta página, Medusa, para publicar datos robados tras amenazar con su publicación si los atacados no cumplen con los criterios del rescate que piden.
En el sitio, al que se puede acceder a través de la red Tor, la víctima puede ver una cuenta regresiva hasta el momento en que su información se hace pública y está disponible para descargar, al mismo tiempo en que aumenta el precio por retrasar el lanzamiento de los datos.
Además del blog Medusa, el grupo ha establecido un canal de Telegram llamado ‘soporte de información’, más accesible que su sitio en la Dark Web, para exponer los datos robados. “En el último año hemos visto un número significativo de vulnerabilidades de alta gravedad accesibles a través de Internet que brindaron una oportunidad notable para que los grupos de ransomware las explotaran”, asegura Anthony Galiette, ingeniero en Unit 42. “Creemos que estas brechas críticas han contribuido al aumento de actividad de Medusa en los últimos meses”.
El grupo Medusa no tiene ningún código ético
Puede haber otra razón para el aumento de la actividad de Medusa. "Medusa ha tenido mucho éxito últimamente y, en particular, es un grupo que tiende a centrarse específicamente en el sector sanitario", indica Darren Williams, director ejecutivo y fundador de BlackFog, una empresa de seguridad para terminales. "Esto podría ser un factor que contribuya a su éxito, ya que el sector de la salud es rico en datos pero pobre en términos de prácticas de ciberseguridad e inversiones en hardware y software antiguos".
Doel Santos, investigador principal de amenazas de la Unidad 42, señala algunos aspectos distintivos de la pandilla Medusa. "Si bien las capacidades técnicas varían entre los grupos de ransomware, Medusa es uno de los pocos que hemos observado que utiliza herramientas como NetScan para preparar e implementar ransomware".
Añadió que el grupo no tiene un código de ética, como algunos grupos afirman tener. “A lo largo de 2023, vimos al grupo comprometer varios distritos escolares y publicar información muy confidencial sobre los estudiantes”, dice Santos.
Medusa utiliza intermediarios de acceso inicial para entrar en las redes
Otras distinciones incluyen que Medusa tiene su propio equipo de medios y marca, se enfoca en explotar las vulnerabilidades de Internet y utiliza intermediarios de acceso inicial (IAB) para obtener acceso a los sistemas. "Los corredores de acceso inicial brindan a los actores de amenazas acceso de valet a la puerta principal de una organización", explica Galiette. "Si bien esto conlleva un costo, aprovechar estos grupos ha demostrado ser muy lucrativo en el pasado".
“En general”, añade Galiette, “estamos viendo que los grupos de ransomware más activos o avanzados aprovechan los intermediarios de acceso inicial. Los grupos de ransomware más pequeños o emergentes no necesariamente tienen el capital para aprovechar los IAB de la misma manera”.
El grupo también acepta rescates dobles. "El uso de un doble rescate es notable para Medusa, donde aprovechan un rescate para descifrar las partes cifradas de un entorno y una demanda de extorsión separada para evitar la filtración de datos robados de sus víctimas a Internet", dice Steve Stone, jefe de Rubrik Zero Labs, la unidad de investigación de ciberseguridad de Rubrik, una empresa global de software de respaldo y seguridad de datos.
Ataque indiscriminado a una amenaza universal planteada por actores de ransomware
La aparición del ransomware Medusa a finales de 2022 y su notoriedad en 2023 marca un avance significativo en el panorama, asegura el informe de la Unidad 42. Esta operación muestra métodos de propagación complejos, aprovechando tanto las vulnerabilidades del sistema como los intermediarios de acceso inicial, al tiempo que evita hábilmente la detección mediante técnicas de subsistencia.
El blog significa una evolución táctica hacia la extorsión múltiple, en la que el grupo emplea tácticas de presión transparentes sobre las víctimas a través de demandas de rescate publicadas en línea, continuó. Con 74 organizaciones en un espectro de industrias afectadas hasta la fecha, el ataque indiscriminado de Medusa enfatiza la amenaza universal que representan estos actores del ransomware.
"Como podemos ver en las estadísticas, el problema no sólo está empeorando, sino que se está acelerando a un ritmo que las organizaciones no pueden seguir", añade Williams. “También debemos reconocer que la revolución de la IA está desempeñando un papel en esta tendencia, ya que ahora estamos viendo que los actores de amenazas entrenan sus sistemas en vulnerabilidades, productos y personas. Si bien las empresas de ciberseguridad también están utilizando la IA para la prevención, en este momento es un juego del gato y el ratón y las organizaciones no están adoptando estas nuevas tecnologías lo suficientemente rápido, o en absoluto, para brindar una protección adecuada”.
