Home Sociedad Medusa Ransomware va en aumento: de la filtración de datos a la...

Medusa Ransomware va en aumento: de la filtración de datos a la extorsión múltiple

Los actores de amenazas asociados con el ransomware Medusa han intensificado sus actividades tras el debut de un sitio dedicado a la filtración de datos en la web oscura en febrero de 2023 para publicar datos confidenciales de las víctimas que no están dispuestas a aceptar sus demandas.

Medusa (que no debe confundirse con Medusa Locker) se refiere a una familia de ransomware que apareció a finales de 2022 antes de cobrar prominencia en 2023. Es conocido por apuntar de manera oportunista a una amplia gama de industrias como la alta tecnología, la educación, la manufactura, la atención médica y el comercio minorista. .

Se estima que hasta 74 organizaciones, principalmente en EE. UU., Reino Unido, Francia, Italia, España e India, se vieron afectadas por el ransomware en 2023.

Los ataques de ransomware orquestados por el grupo comienzan con la explotación de activos o aplicaciones de Internet con vulnerabilidades conocidas sin parches y el secuestro de cuentas legítimas, a menudo empleando intermediarios de acceso inicial para obtener un punto de apoyo en las redes objetivo.

En un caso observado por la empresa de ciberseguridad, se aprovechó un servidor Microsoft Exchange para cargar un shell web, que luego se utilizó como conducto para instalar y ejecutar el software de administración y monitoreo remoto (RMM) ConnectWise.

Para cada víctima comprometida, el sitio de filtración de Medusa muestra información sobre las organizaciones, el rescate exigido, la cantidad de tiempo que queda antes de que los datos robados se hagan públicos y el número de visitas en un intento por ejercer presión sobre la empresa.

Los actores también ofrecen diferentes opciones a la víctima, todas las cuales implican alguna forma de extorsión para eliminar o descargar los datos robados y buscar una extensión de tiempo para evitar que los datos sean divulgados.

A medida que el ransomware continúa siendo una amenaza rampante, dirigida a empresas de tecnología, atención médica, infraestructura crítica y todo lo demás, los actores de amenazas detrás de él se están volviendo más descarados con sus tácticas, yendo más allá de nombrar y avergonzar públicamente a las organizaciones al recurrir a amenazas de violencia física. e incluso canales dedicados a las relaciones públicas.

Medusa, según Unit 42, no solo tiene un equipo de medios para probablemente manejar sus esfuerzos de marca, sino que también aprovecha un canal público de Telegram llamado “soporte de información”, donde los archivos de las organizaciones comprometidas se comparten y se puede acceder a ellos a través de clearnet. El canal se creó en julio de 2021.

El desarrollo se produce cuando Arctic Wolf Labs publicó dos casos en los que las víctimas de las bandas de ransomware Akira y Royal fueron atacadas por terceros maliciosos que se hacían pasar por investigadores de seguridad para intentos secundarios de extorsión.

También sigue a un nuevo aviso del Centro Nacional de Seguridad Cibernética de Finlandia (NCSC-FI) sobre un aumento en los incidentes de ransomware Akira en el país hacia fines de 2023 al explotar una falla de seguridad en los dispositivos VPN de Cisco (CVE-2023-20269, CVSS puntuación: 5,0) para violar entidades nacionales.