Pesquisa detecta aumento de multiextorsão com ransomware Medusa

Especialistas da Unit 42, unidade de pesquisa da Palo Alto Networks, identificaram que o ransomware impactou cerca de 74 organizações globalmente em 2023, afetando setores como alta tecnologia, educação e manufatura

Compartilhar:

O ransomware Medusa, recentemente destacado pelos analistas da Unit 42, unidade de pesquisa da Palo Alto Networks, é uma ameaça em ascensão no cenário de segurança cibernética. Este grupo malicioso, conhecido pela família Medusa, ganhou notoriedade ao introduzir o Medusa Blog no início de 2023, marcando uma mudança nas suas táticas de extorsão. A família Medusa já tinha um histórico de sucesso com o MedusaLocker em anos anteriores, mas agora, com o ransomware Medusa, eles estão emergindo como uma ameaça proeminente desde o início de 2023.

 

Esse malware é altamente perigoso e pode impedir a restauração do sistema. Uma vez que os dados são sequestrados, o grupo Medusa exige o pagamento de um resgate para liberar as informações. Em caso de não conformidade, todas as informações roubadas são publicadas em um vídeo feito pelo grupo, intensificando a pressão sobre as vítimas.

 

“Utilizando o Medusa Blog como plataforma, o grupo Medusa adotou uma estratégia de multiextorsão. As vítimas que se recusam a atender às exigências do grupo têm a opção de escolher entre diferentes alternativas, como prorrogação do prazo, exclusão seletiva de dados ou o download completo das informações comprometidas, cada uma associada a um preço variável”, afirma Marcos Oliveira, Country Manager da Palo Alto Networks no Brasil.

 

Além disso, o grupo utiliza o canal público no Telegram chamado “suporte de informações” para compartilhar arquivos de organizações comprometidas, tornando-os mais acessíveis do que as tradicionais plataformas da dark web.

 

Em resposta a um incidente de ransomware Medusa, os pesquisadores da Unit 42 identificou as táticas, ferramentas e procedimentos empregados pelo grupo. “Os clientes da Palo Alto Networks podem contar com a proteção do Cortex XDR e dos serviços de segurança da nuvem WildFire para mitigar as ameaças representadas pelo grupo Medusa. Essas medidas são cruciais para defender organizações contra as atividades maliciosas desse grupo e proteger dados sensíveis contra potenciais sequestros”, completa Oliveira.

 

Visão Geral do Ransomware Medusa as a Service

 

Medusa emergiu como uma plataforma de Ransomware as a Service (RaaS) no final de 2022, ganhando notoriedade em 2023 ao direcionar principalmente ambientes Windows. Diferentemente do MedusaLocker, presente desde 2019, a análise da Unit 42 concentra-se no ransomware Medusa, que impacta organizações que usam Windows.

 

O grupo propaga seu ransomware através da exploração de serviços vulneráveis e do sequestro de contas legítimas, empregando intermediários de acesso inicial. A equipe da Unit 42 observou uma escalada nas atividades, marcada pelo lançamento do Medusa Blog em 2023, intensificando as táticas de multiextorsão.

 

Também foi observado que o ransomware Medusa implementa a técnica living-off-the-land (vivendo fora da terra, tradução livre), utilizando software legítimo para fins maliciosos, o que muitas vezes pode se misturar com tráfego e comportamento regulares, tornando mais difícil identificar essas atividades.

 

“Com base no Medusa Blog, identificamos que o ransomware impactou cerca de 74 organizações globalmente em 2023, afetando setores como alta tecnologia, educação e manufatura. A análise técnica revelou estratégias de exploração diferenciadas, incluindo o uso de webshells, que são programas maliciosos que permitem a invasores controlar servidores web e executar comandos não autorizados”, conclui o executivo.

 

Conteúdos Relacionados

Security Report | Overview

Ministério da Gestão e Inovação publica guias orientativos de SI para população

Iniciativa inclui uma revista em quadrinhos para a população e duas publicações para ajudar quem atua com tecnologia no serviço...
Security Report | Overview

Caso Defesa Civil reforça necessidade de proteção em sistemas críticos, alerta pesquisa

O caso está sendo investigado pelas autoridades, que apuram a possibilidade de acesso não autorizado à plataforma utilizada para o...
Security Report | Overview

Análise de ameaças emite alerta para campanhas de phishing por código

O golpe destaca-se por sua natureza de 'rastro zero'. Os criminosos utilizam uma estratégia focada em convencer o usuário a...
Security Report | Overview

IA acelera ataques virtuais e amplia exigência por Segurança preventiva, aponta threat intel

Check Point e OpenAI expandem parceria estratégica para embutir modelos cibernéticos avançados diretamente nas ferramentas de proteção corporativa, combatendo o...