A CISA anunciou que a operação do ransomware Medusa afetou mais de 300 organizações em setores de infraestrutura crítica nos Estados Unidos até o mês passado.
Isso foi revelado em um alerta conjunto emitido hoje em coordenação com o Federal Bureau of Investigation (FBI) e o Multi-State Information Sharing and Analysis Center (MS-ISAC).
"Até fevereiro de 2025, os desenvolvedores e afiliados da Medusa afetaram mais de 300 vítimas de uma variedade de setores de infraestrutura crítica, com indústrias afetadas incluindo médica, educação, jurídica, seguros, tecnologia e manufatura," CISA, o FBI e MS-ISAC alertaram na quarta-feira(12).
FBI, CISA e MS-ISAC encorajam as organizações a implementar as recomendações na seção de Mitigações deste alerta para reduzir a probabilidade e o impacto de incidentes ransomware Medusa.
Como o alerta explica, para se defender contra ataques de ransomware Medusa, os defensores são aconselhados a tomar as seguintes medidas:
- Mitigar vulnerabilidades de segurança conhecidas para garantir que sistemas operacionais, softwares e firmware sejam atualizados dentro de um prazo razoável;
- Segmentar redes para limitar o movimento lateral entre dispositivos infectados e outros dispositivos dentro da organização;
- Filtrar o tráfego de rede bloqueando o acesso de origens desconhecidas ou não confiáveis a serviços remotos em sistemas internos.
O ransomware Medusa surgiu quase quatro anos atrás, em janeiro de 2021, mas a atividade da gangue só aumentou dois anos depois, em 2023, quando lançou o site de vazamento Medusa Blog para pressionar as vítimas a pagarem resgates usando dados roubados como alavanca.
Desde que surgiu, a gangue reivindicou mais de 400 vítimas em todo o mundo e ganhou atenção da mídia em março de 2023 após reivindicar responsabilidade por um ataque ao distrito de escolas públicas de Minneapolis (MPS) e compartilhar um vídeo dos dados roubados.
O grupo também vazou arquivos supostamente roubados da Toyota Financial Services, uma subsidiária da Toyota Motor Corporation, em seu portal de extorsão dark em novembro de 2023, depois que a empresa se recusou a pagar uma demanda de resgate de 8 milhões de dólares e notificou os clientes sobre uma violação de dados.
Medusa foi inicialmente introduzido como uma variante de ransomware fechada, onde um único grupo de atores de ameaças lidava com todo o desenvolvimento e operações.
Embora o Medusa tenha evoluído para uma operação de Ransomware-as-a-service (RaaS) e adotado um modelo de afiliado, seus desenvolvedores continuam a supervisionar operações essenciais, incluindo negociações de resgate.
"Desenvolvedores do Medusa normalmente recrutam brokers inicial de acesso (IABs) em fóruns e marketplaces cibercriminosos para obter acesso inicial a potenciais vítimas," eles adicionaram.
Pagamentos potenciais entre $100 USD e $1 milhão USD são oferecidos a esses afiliados com a oportunidade de trabalhar exclusivamente para o Medusa.
Também é importante notar que múltiplas famílias de malware e operações de cibercrime chamam-se Medusa, incluindo um botnet baseado em Mirai com capacidades de ransomware e uma operação de malware-as-a-service (MaaS) para Android descoberta em 2020 (também conhecida como TangleBot).
Devido a esse nome comumente usado, também houve alguns relatos confusos sobre o ransomware Medusa, com muitos pensando que é o mesmo que a amplamente conhecida operação MedusaLocker ransomware, embora sejam operações completamente diferentes.
No mês passado, a CISA e o FBI emitiram outro alerta conjunto avisando que vítimas de vários setores da indústria em mais de 70 países, incluindo infraestrutura crítica, foram violadas em ataques do ransomware Ghost.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...