Os atores de ameaças por trás do ransomware Medusa reivindicaram quase 400 vítimas desde sua primeira aparição em janeiro de 2023, com os ataques motivados financeiramente testemunhando um aumento de 42% entre 2023 e 2024.
Nos primeiros dois meses de 2025 sozinho, o grupo reivindicou mais de 40 ataques, de acordo com dados da equipe Symantec Threat Hunter compartilhados.
A empresa de cibersegurança está rastreando o cluster sob o nome Spearwing.
"Como a maioria dos operadores de ransomware, Spearwing e seus afiliados realizam ataques de extorsão dupla, roubando dados das vítimas antes de criptografar redes para aumentar a pressão sobre as vítimas para pagar um resgate", observou a Symantec.
Se as vítimas se recusam a pagar, o grupo ameaça publicar os dados roubados em seu site de vazamentos de dados. Enquanto outros players de ransomware-as-a-service (RaaS) como RansomHub (também conhecidos como Greenbottle e Cyclops), Play (também conhecidos como Balloonfly) e Qilin (também conhecidos como Agenda, Stinkbug e Water Galura) se beneficiaram das disrupções de LockBit e BlackCat, o aumento nas infecções por Medusa levanta a possibilidade de que o ator de ameaça também possa estar se apressando para preencher a lacuna deixada pelos dois extorsionistas prolíficos.
O desenvolvimento ocorre enquanto a paisagem do ransomware continua em constante fluxo, com uma corrente contínua de novas operações de RaaS, como Anubis, CipherLocker, Core, Dange, LCRYX, Loches, Vgod e Xelera, emergindo no cenário nos últimos meses.
Medusa tem um histórico de exigir resgates entre $100.000 a $15 milhões, visando provedores de saúde e organizações sem fins lucrativos, bem como organizações financeiras e governamentais.
As cadeias de ataque montadas pelo sindicato do ransomware envolvem a exploração de falhas de segurança conhecidas em aplicações voltadas ao público, principalmente o Microsoft Exchange Server, para obter acesso inicial.
Também é suspeito que os atores de ameaças estejam provavelmente usando corretores de acesso inicial para violar redes de interesse.
Uma vez obtendo uma entrada bem-sucedida, os hackers utilizam software de gerenciamento remoto e monitoramento (RMM) como SimpleHelp, AnyDesk ou MeshAgent para acesso persistente, e empregam a técnica testada e comprovada Bring Your Own Vulnerable Driver (BYOVD) para terminar processos de antivírus usando o KillAV.
Vale ressaltar que o KillAV já foi utilizado anteriormente em ataques de ransomware do BlackCat.
"O uso do software legítimo de RMM PDQ Deploy é outra característica dos ataques de ransomware Medusa", disse a Symantec.
Ele é tipicamente usado pelos atacantes para soltar outras ferramentas e arquivos e para se mover lateralmente através da rede da vítima. Algumas das outras ferramentas implantadas ao longo de um ataque de ransomware Medusa incluem Navicat para acessar e executar consultas de banco de dados, RoboCopy e Rclone para exfiltração de dados.
"Como a maioria dos grupos de ransomware direcionados, Spearwing tende a atacar grandes organizações em uma variedade de setores", disse a Symantec.
Grupos de ransomware tendem a ser movidos puramente por lucro, e não por considerações ideológicas ou morais.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...