A CISA diz que a operação de ransomware Medusa impactou mais de 300 organizações em setores de infraestrutura crítica nos Estados Unidos até o mês passado.
Isso foi revelado em um comunicado conjunto emitido hoje em coordenação com o Federal Bureau of Investigation (FBI) e o Multi-State Information Sharing and Analysis Center (MS-ISAC).
“Até fevereiro de 2025, os desenvolvedores e afiliados do Medusa impactaram mais de 300 vítimas de uma variedade de setores de infraestrutura crítica, com setores afetados incluindo medicina, educação, jurídico, seguros, tecnologia e manufatura”, alertaram a CISA, o FBI e o MS-ISAC na quarta-feira.
“O FBI, a CISA e o MS-ISAC incentivam as organizações a implementar as recomendações na seção Mitigações deste aviso para reduzir a probabilidade e o impacto de incidentes de ransomware Medusa.”
Conforme explica o comunicado, para se defender contra ataques de ransomware Medusa, os defensores são aconselhados a tomar as seguintes medidas:
- Mitigar vulnerabilidades de segurança conhecidas para garantir que os sistemas operacionais, software e firmware sejam corrigidos dentro de um prazo razoável,
- Segmentar redes para limitar o movimento lateral entre dispositivos infectados e outros dispositivos dentro da organização e
- Filtre o tráfego de rede bloqueando o acesso de origens desconhecidas ou não confiáveis a serviços remotos em sistemas internos.
O ransomware Medusa surgiu há quase quatro anos, em janeiro de 2021, mas a atividade da gangue só aumentou dois anos depois , em 2023, quando lançou o site de vazamento Medusa Blog para pressionar as vítimas a pagar resgates usando dados roubados como alavanca.
Desde que surgiu, a gangue fez mais de 400 vítimas em todo o mundo e ganhou atenção da mídia em março de 2023 após assumir a responsabilidade por um ataque ao distrito de Escolas Públicas de Minneapolis (MPS) e compartilhar um vídeo dos dados roubados.
O grupo também vazou arquivos supostamente roubados da Toyota Financial Services, uma subsidiária da Toyota Motor Corporation, em seu portal obscuro de extorsão em novembro de 2023, depois que a empresa se recusou a pagar um resgate de US$ 8 milhões e notificou os clientes sobre uma violação de dados .
O Medusa foi introduzido pela primeira vez como uma variante fechada de ransomware, onde um único grupo de agentes de ameaças lidava com todo o desenvolvimento e operações. Embora o Medusa tenha evoluído para uma operação de Ransomware como serviço (RaaS) e adotado um modelo de afiliados, seus desenvolvedores continuam a supervisionar operações essenciais, incluindo negociações de resgate.
“Os desenvolvedores do Medusa normalmente recrutam corretores de acesso inicial (IABs) em fóruns e mercados de criminosos cibernéticos para obter acesso inicial a vítimas em potencial”, eles acrescentaram. “Pagamentos potenciais entre US$ 100 e US$ 1 milhão são oferecidos a esses afiliados com a oportunidade de trabalhar exclusivamente para o Medusa.”
Também é importante observar que diversas famílias de malware e operações de crimes cibernéticos se autodenominam Medusa, incluindo uma botnet baseada em Mirai com recursos de ransomware e uma operação de malware como serviço (MaaS) para Android descoberta em 2020 (também conhecida como TangleBot).
Devido a esse nome comumente usado, também houve alguns relatos confusos sobre o ransomware Medusa, com muitos pensando que é o mesmo que a amplamente conhecida operação de ransomware MedusaLocker , embora sejam operações totalmente diferentes.
No mês passado, a CISA e o FBI emitiram outro alerta conjunto alertando que vítimas de vários setores da indústria em mais de 70 países, incluindo infraestrutura crítica, foram violadas em ataques de ransomware Ghost.
