Funcionarios de ciberseguridad advierten sobre una creciente amenaza de Medusa, un software de ransomware como servicio que ha estado atacando activamente a organizaciones desde 2021. El FBI y la CISA están aconsejando a las organizaciones que tomen precauciones contra este ransomware, que utiliza phishing para robar credenciales y emplea un modelo de “doble extorsión” que cifra datos y amenaza con su publicación pública a menos que se pague un rescate.
Funcionarios de ciberseguridad están emitiendo advertencias urgentes con respecto a una amenaza de ransomware en rápida expansión conocida como Medusa, que representa un riesgo significativo para las organizaciones de diversos sectores. La Oficina Federal de Investigación (FBI) y la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) han publicado conjuntamente un aviso que destaca el peligro de esta operación de ransomware como servicio (RaaS), enfatizando el potencial de daños financieros y de reputación sustanciales para las víctimas. El aviso sirve como una medida proactiva para alertar a las organizaciones e individuos sobre las tácticas en evolución empleadas por Medusa y para proporcionar pasos accionables para la mitigación.
El ransomware Medusa ha estado activo desde 2021, pero la actividad reciente indica una escalada significativa en su alcance e impacto. El aviso de CISA establece explícitamente que Medusa ha “afectado recientemente a cientos de personas”, lo que demuestra la amplitud de sus operaciones actuales. El modelo RaaS permite que múltiples afiliados utilicen el software Medusa, amplificando su potencial para ataques generalizados. Esta estructura reduce la barrera de entrada para los ciberdelincuentes, lo que permite que una red más grande de atacantes implemente el ransomware y aumenta el panorama general de amenazas. El momento del aviso subraya la urgencia de la situación, lo que exige atención inmediata y medidas preventivas.
Un vector de ataque principal utilizado por Medusa son las campañas de phishing, un método común pero altamente efectivo para obtener acceso inicial a las redes de las víctimas. Según CISA, los operadores de Medusa confían en el phishing como su “principal método para robar las credenciales de las víctimas”. Esto sugiere una comprensión sofisticada de las técnicas de ingeniería social y un enfoque en la explotación de las vulnerabilidades humanas dentro de las organizaciones. Los correos electrónicos de phishing a menudo se disfrazan de comunicaciones legítimas, engañando a los usuarios para que revelen información confidencial como nombres de usuario y contraseñas, lo que permite a los atacantes obtener una base dentro de la red.
Para combatir la amenaza que representa Medusa, los funcionarios recomiendan un enfoque de ciberseguridad en capas, centrado en salvaguardas tanto técnicas como de procedimiento. Parchear sistemas operativos, software y firmware es un primer paso fundamental, abordando las vulnerabilidades conocidas que Medusa y sus afiliados podrían explotar. Además, la implementación de la autenticación multifactor (MFA) para todos los servicios, incluidos el correo electrónico y las VPN, agrega una capa adicional de seguridad, lo que dificulta significativamente que los atacantes obtengan acceso incluso si han comprometido las credenciales. El aviso destaca específicamente la MFA como un mecanismo de defensa crucial.
De manera contradictoria, los expertos también advierten contra los cambios frecuentes de contraseña. Si bien el instinto de rotar regularmente las contraseñas puede parecer una buena práctica de seguridad, en realidad puede debilitar la seguridad a largo plazo. Los cambios frecuentes pueden llevar a los usuarios a elegir contraseñas más simples y fáciles de recordar, lo que las hace más fáciles de descifrar. En cambio, el aviso recomienda usar contraseñas largas y complejas y evitar cambios recurrentes. Esta estrategia prioriza la solidez de la contraseña sobre la rotación frecuente, reforzando la seguridad general.
Medusa opera bajo un modelo de “doble extorsión”, una táctica particularmente dañina que maximiza la presión sobre las víctimas para que paguen el rescate. Este modelo implica no solo cifrar los datos de la víctima, haciéndolos inaccesibles, sino también exfiltrar esos datos y amenazar con publicarlos si no se paga el rescate. El aviso detalla este proceso, afirmando que los actores de Medusa “cifran los datos de la víctima y amenazan con publicar públicamente los datos exfiltrados si no se paga un rescate”. Esta doble amenaza aumenta significativamente lo que está en juego para las víctimas, ya que se enfrentan a la posibilidad de interrupción operativa y daños a la reputación.
La sofisticación de las operaciones de Medusa se evidencia aún más por su sitio de filtración de datos, que sirve como una exhibición pública de sus víctimas y su situación. Este sitio muestra a las víctimas junto con los temporizadores de cuenta regresiva, creando una sensación de urgencia y presión. Según el aviso, “Medusa opera un sitio de filtración de datos que muestra a las víctimas junto con las cuentas regresivas para la publicación de la información”. Esta táctica de vergüenza pública está diseñada para incentivar a las víctimas a pagar el rescate para evitar la publicación de datos confidenciales.
El aviso proporciona más detalles sobre los aspectos financieros del esquema de extorsión de Medusa. Las demandas de rescate se muestran de manera prominente en el sitio de filtración de datos, acompañadas de hipervínculos directos a las billeteras de criptomonedas utilizadas por los afiliados de Medusa. “Las demandas de rescate se publican en el sitio, con hipervínculos directos a las billeteras de criptomonedas afiliadas a Medusa”, afirma el aviso. Además de la complejidad, Medusa anuncia activamente la venta de los datos robados a compradores potenciales antes de que expire el temporizador de cuenta regresiva. Incluso se ofrece a las víctimas la opción de pagar $10,000 USD en criptomonedas para extender el temporizador de cuenta regresiva, lo que destaca la naturaleza adaptable y oportunista del ransomware.
Desde febrero, los desarrolladores y afiliados de Medusa han afectado a un número significativo de organizaciones. CISA informa que más de 300 víctimas de una amplia gama de industrias han sido atacadas. Estas industrias incluyen la médica, la educativa, la legal, la de seguros, la tecnológica y la manufacturera. Este amplio impacto sectorial subraya la vulnerabilidad generalizada a Medusa y la importancia de las medidas de seguridad proactivas en todas las organizaciones, independientemente de su industria específica. La diversidad de sectores objetivo sugiere que las tácticas de Medusa son efectivas contra una amplia gama de posturas de seguridad.
Funcionarios de ciberseguridad alertan sobre un aumento en los ataques de ransomware Medusa, afectando a cientos en diversas industrias. La amenaza utiliza phishing, doble extorsión (cifrado y publicación de datos) y un sitio de filtración de datos con demandas de rescate crecientes. Parchee los sistemas, use autenticación de múltiples factores y priorice contraseñas seguras para mitigar el riesgo. Aprenda más sobre estrategias de prevención de ransomware de CISA: [https://www.cisa.gov/ransomware](https://www.cisa.gov/ransomware)
Leave a Reply