Sartrouville, Betton, Toyota, estos nombres tienen una cosa en común: fueron atacados por el grupo de ransomware Medusa. Sus actividades no se debilitan según un informe publicado por Unit42 de Palo Alto Networks. Los expertos descubrieron un blog de pandillas que ofrecía múltiples soluciones de pago a las víctimas. El blog también se utiliza para publicar datos robados en caso de que la víctima se niegue a pagar el rescate. En el sitio "cebolla", al que se puede acceder a través de la red Tor, la víctima puede ver la "cuenta atrás" hasta la fecha de exposición pública de los datos y su disponibilidad para su descarga, un precio por su eliminación y un precio por retrasar su divulgación ($10,000).

Además del blog, el grupo creó un canal público de Telegram llamado “Soporte de información”, más fácilmente accesible que los sitios tradicionales de la Dark Web, donde expone archivos robados a empresas comprometidas. "El año pasado, un número significativo de vulnerabilidades muy graves, accesibles a través de Internet, pudieron ser explotadas por grupos de ransomware", afirmó Anthony Galiette, ingeniero de ingeniería inversa de Unit42. "Creemos que estas vulnerabilidades críticas han contribuido al aumento de la actividad de Medusa en los últimos meses", añadió.

Índice
  1. Sin código de ética
  2. Corredores de acceso inicial para acceder a la red
  3. Objetivos indiscriminados, una amenaza universal de los actores del ransomware

Sin código de ética

Puede haber otra razón para el aumento de la actividad de Medusa. "El grupo, que ha tenido mucho éxito últimamente, se ha centrado específicamente en el sector sanitario", señaló Darren Williams, director ejecutivo y fundador de BlackFog, una empresa especializada en seguridad de terminales. "Esto es probablemente lo que contribuyó a su éxito, ya que la industria de la salud es rica en datos, pero está atrasada en términos de prácticas e inversiones en ciberseguridad, y todavía utiliza una gran cantidad de hardware y software antiguo", añadió.

"Si bien las capacidades técnicas varían entre los grupos de ransomware, Medusa es uno de los pocos que utiliza herramientas como NetScan para preparar e implementar ransomware", dijo Doel Santos, investigador senior de amenazas. de Unit42, sobre la pandilla Medusa, y agrega que, contrariamente a lo que afirman algunos grupos, Medusa no tiene un código de ética. “A lo largo de 2023, el grupo comprometió varios distritos escolares y expuso información estudiantil altamente sensible”, dijo el experto.

Corredores de acceso inicial para acceder a la red

Medusa también se destaca porque tiene su propio equipo de medios y marca, se enfoca en explotar las vulnerabilidades de Internet y utiliza intermediarios de acceso. (Initial Access Brokers, IAB) para acceder a los sistemas. "Los corredores de acceso inicial brindan a los actores de amenazas acceso a la puerta de entrada de una empresa", explicó Anthony Galiette. "A pesar del coste, el uso de estos intermediarios por parte de grupos ha demostrado ser muy lucrativo en el pasado", afirmó.

“En general, vemos que los grupos de ransomware más activos o avanzados utilizan intermediarios de acceso inicial. Los grupos de ransomware más pequeños o emergentes no necesariamente tienen el capital para utilizar los IAB de la misma manera”, añadió Anthony Galiette. El grupo también practica el doble rescate. "El uso de un doble rescate es otra característica de Medusa, que utiliza un rescate para descifrar partes cifradas de un entorno y un rescate separado para evitar que los datos robados de las víctimas se filtren en Internet", explicó Steve Stone, director de Rubrik Zero Labs. , la unidad de investigación de ciberseguridad del especialista en respaldo en la nube.

Objetivos indiscriminados, una amenaza universal de los actores del ransomware

“La aparición de Medusa a finales de 2022 y su notoriedad en 2023 marcan una evolución significativa en el panorama del ransomware”, indica además el informe de Unit42. Esto resalta métodos de propagación complejos, aprovechando tanto las vulnerabilidades del sistema como los intermediarios de acceso inicial, mientras evita hábilmente la detección mediante técnicas de persistencia. "El blog de Medusa demuestra un cambio táctico hacia la extorsión múltiple, con el grupo empleando tácticas de presión transparentes sobre las víctimas a través de demandas de rescate hechas públicas en línea". Hasta la fecha se han visto afectadas 74 empresas de muy diversos sectores.

Este ataque indiscriminado a Medusa resalta la amenaza universal que representan estos grupos cibercriminales. "Como muestran las estadísticas, el problema no sólo está empeorando, sino que se está acelerando a un ritmo que a las empresas les resulta cada vez más difícil seguir el ritmo", añadió Williams. "También hay que reconocer que la revolución de la IA está desempeñando un papel en esta tendencia porque, como podemos ver, los actores de amenazas ahora están entrenando sus sistemas en vulnerabilidades, productos y personas", dijo. -añadió. “Aunque las empresas de ciberseguridad también están utilizando la IA para la prevención, en este juego del gato y el ratón, las empresas no están adoptando estas nuevas tecnologías con la suficiente rapidez, o en absoluto, como para tener una protección adecuada”.