Pesquisa detecta aumento nas atividades de ransomware Medusa e revela estratégias de multiextorsão

Pesquisa da Palo Alto Networks detecta aumento do ransomware Medusa
Imagem: Freepik

Especialistas da Unit 42, unidade de pesquisa da Palo Alto Networks, identificaram que o ransomware impactou cerca de 74 organizações globalmente em 2023, afetando setores como alta tecnologia, educação e manufatura

ransomware Medusa, recentemente destacado pelos analistas da Unit 42, unidade de pesquisa da Palo Alto Networks, é uma ameaça em ascensão no cenário de segurança cibernética. Este grupo malicioso, conhecido pela família Medusa, ganhou notoriedade ao introduzir o Medusa Blog no início de 2023, marcando uma mudança nas suas táticas de extorsão. A família Medusa já tinha um histórico de sucesso com o MedusaLocker em anos anteriores, mas agora, com o ransomware Medusa, eles estão emergindo como uma ameaça proeminente desde o início de 2023.

Esse malware é altamente perigoso e pode impedir a restauração do sistema. Uma vez que os dados são sequestrados, o grupo Medusa exige o pagamento de um resgate para liberar as informações. Em caso de não conformidade, todas as informações roubadas são publicadas em um vídeo feito pelo grupo, intensificando a pressão sobre as vítimas.

“Utilizando o Medusa Blog como plataforma, o grupo Medusa adotou uma estratégia de multiextorsão. As vítimas que se recusam a atender às exigências do grupo têm a opção de escolher entre diferentes alternativas, como prorrogação do prazo, exclusão seletiva de dados ou o download completo das informações comprometidas, cada uma associada a um preço variável”, afirma Marcos Oliveira, Country Manager da Palo Alto Networks no Brasil.

Além disso, o grupo utiliza o canal público no Telegram chamado “suporte de informações” para compartilhar arquivos de organizações comprometidas, tornando-os mais acessíveis do que as tradicionais plataformas da dark web.

Em resposta a um incidente de ransomware Medusa, os pesquisadores da Unit 42 identificou as táticas, ferramentas e procedimentos empregados pelo grupo. “Os clientes da Palo Alto Networks podem contar com a proteção do Cortex XDR e dos serviços de segurança da nuvem WildFire para mitigar as ameaças representadas pelo grupo Medusa. Essas medidas são cruciais para defender organizações contra as atividades maliciosas desse grupo e proteger dados sensíveis contra potenciais sequestros”, completa Oliveira.

Visão Geral do Ransomware Medusa as a Service

Medusa emergiu como uma plataforma de Ransomware as a Service (RaaS) no final de 2022, ganhando notoriedade em 2023 ao direcionar principalmente ambientes Windows. Diferentemente do MedusaLocker, presente desde 2019, a análise da Unit 42 concentra-se no ransomware Medusa, que impacta organizações que usam Windows.

O grupo propaga seu ransomware através da exploração de serviços vulneráveis e do sequestro de contas legítimas, empregando intermediários de acesso inicial. A equipe da Unit 42 observou uma escalada nas atividades, marcada pelo lançamento do Medusa Blog em 2023, intensificando as táticas de multiextorsão.

Também foi observado que o ransomware Medusa implementa a técnica living-off-the-land (vivendo fora da terra, tradução livre), utilizando software legítimo para fins maliciosos, o que muitas vezes pode se misturar com tráfego e comportamento regulares, tornando mais difícil identificar essas atividades.

“Com base no Medusa Blog, identificamos que o ransomware impactou cerca de 74 organizações globalmente em 2023, afetando setores como alta tecnologia, educação e manufatura. A análise técnica revelou estratégias de exploração diferenciadas, incluindo o uso de webshells, que são programas maliciosos que permitem a invasores controlar servidores web e executar comandos não autorizados”, conclui o executivo. 


Leia também
Cibersegurança em IoT: alerta sobre riscos de ataques cibernéticos e recomendações para garantir a proteção de dispositivos conectados
Cibersegurança em IoT: alerta sobre riscos de ataques cibernéticos e recomendações para garantir a proteção de dispositivos conectados

Líder do Comitê de Segurança da ABINC afirma que a baixa conscientização em segurança do mercado IoT é um dos […]

Empresas precisam investir na proteção cibernética das Tecnologias Operacionais (OT)
Empresas precisam investir na proteção cibernética das Tecnologias Operacionais (OT)

Em conversa com Eduardo Lopes, CEO da Redbelt Security e Matheus Borges, CCO da Redbelt Security, dois especialistas compartilharam suas […]

Mercado financeiro: protegendo ativos na era digital
Mercado financeiro: protegendo ativos na era digital

O mercado financeiro é reconhecidamente um dos que mais investe em inovações para digitalizar suas operações e os serviços oferecidos […]

Dia Internacional da Internet Segura: 6 dicas para se proteger online
Dia Internacional da Internet Segura: 6 dicas para se proteger online

Hoje, dia 6 de fevereiro, celebramos o Dia Internacional da Internet Segura, uma iniciativa da Redes INSAFE-INHOPE e da Comissão […]

Cuidados cibernéticos no carnaval: como se proteger dos golpes virtuais durante a folia
Cuidados cibernéticos no carnaval: como se proteger dos golpes virtuais durante a folia

Durante o carnaval, período conhecido por festas e descontração, os brasileiros ficam mais suscetíveis a ciberataques, conforme indicado por uma […]