A CISA anunciou que a operação do ransomware Medusa afetou mais de 300 organizações em setores de infraestrutura crítica nos Estados Unidos até o mês passado.
Isso foi revelado em um alerta conjunto emitido hoje em coordenação com o Federal Bureau of Investigation (FBI) e o Multi-State Information Sharing and Analysis Center (MS-ISAC).
"Até fevereiro de 2025, os desenvolvedores e afiliados da Medusa afetaram mais de 300 vítimas de uma variedade de setores de infraestrutura crítica, com indústrias afetadas incluindo médica, educação, jurídica, seguros, tecnologia e manufatura," CISA, o FBI e MS-ISAC alertaram na quarta-feira(12).
FBI, CISA e MS-ISAC encorajam as organizações a implementar as recomendações na seção de Mitigações deste alerta para reduzir a probabilidade e o impacto de incidentes ransomware Medusa.
Como o alerta explica, para se defender contra ataques de ransomware Medusa, os defensores são aconselhados a tomar as seguintes medidas:
- Mitigar vulnerabilidades de segurança conhecidas para garantir que sistemas operacionais, softwares e firmware sejam atualizados dentro de um prazo razoável;
- Segmentar redes para limitar o movimento lateral entre dispositivos infectados e outros dispositivos dentro da organização;
- Filtrar o tráfego de rede bloqueando o acesso de origens desconhecidas ou não confiáveis a serviços remotos em sistemas internos.
O ransomware Medusa surgiu quase quatro anos atrás, em janeiro de 2021, mas a atividade da gangue só aumentou dois anos depois, em 2023, quando lançou o site de vazamento Medusa Blog para pressionar as vítimas a pagarem resgates usando dados roubados como alavanca.
Desde que surgiu, a gangue reivindicou mais de 400 vítimas em todo o mundo e ganhou atenção da mídia em março de 2023 após reivindicar responsabilidade por um ataque ao distrito de escolas públicas de Minneapolis (MPS) e compartilhar um vídeo dos dados roubados.
O grupo também vazou arquivos supostamente roubados da Toyota Financial Services, uma subsidiária da Toyota Motor Corporation, em seu portal de extorsão dark em novembro de 2023, depois que a empresa se recusou a pagar uma demanda de resgate de 8 milhões de dólares e notificou os clientes sobre uma violação de dados.
Medusa foi inicialmente introduzido como uma variante de ransomware fechada, onde um único grupo de atores de ameaças lidava com todo o desenvolvimento e operações.
Embora o Medusa tenha evoluído para uma operação de Ransomware-as-a-service (RaaS) e adotado um modelo de afiliado, seus desenvolvedores continuam a supervisionar operações essenciais, incluindo negociações de resgate.
"Desenvolvedores do Medusa normalmente recrutam brokers inicial de acesso (IABs) em fóruns e marketplaces cibercriminosos para obter acesso inicial a potenciais vítimas," eles adicionaram.
Pagamentos potenciais entre $100 USD e $1 milhão USD são oferecidos a esses afiliados com a oportunidade de trabalhar exclusivamente para o Medusa.
Também é importante notar que múltiplas famílias de malware e operações de cibercrime chamam-se Medusa, incluindo um botnet baseado em Mirai com capacidades de ransomware e uma operação de malware-as-a-service (MaaS) para Android descoberta em 2020 (também conhecida como TangleBot).
Devido a esse nome comumente usado, também houve alguns relatos confusos sobre o ransomware Medusa, com muitos pensando que é o mesmo que a amplamente conhecida operação MedusaLocker ransomware, embora sejam operações completamente diferentes.
No mês passado, a CISA e o FBI emitiram outro alerta conjunto avisando que vítimas de vários setores da indústria em mais de 70 países, incluindo infraestrutura crítica, foram violadas em ataques do ransomware Ghost.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...