Un estudio de la Unidad de Investigación y Amenazas de Palo Alto Networks, conocida como UNIT 42, muestra el creciente impacto del grupo de cibercriminales Medusa. Este grupo se especializa en el secuestro y cifrado de datos de organizaciones que utilizan sistemas Windows, y ha adoptado tácticas de multiextorsión para mejorar su efectividad.
El grupo ha lanzado un ransomware propio, también llamado Medusa, que se propaga aprovechando las vulnerabilidades del sistema de las víctimas, a través del uso de “webshells”. Estos programas maliciosos permiten el control remoto de los servidores web, ejecutando comandos no autorizados. Una vez instalado, Medusa opera de manera sigilosa, utilizando la técnica “Living off the land” (LOTL) para camuflarse dentro del sistema y evadir la detección por parte de los antivirus y los equipos de TI.
“Una vez dentro del sistema, el grupo Medusa secuestra la información confidencial de la empresa encriptándola a nivel militar, renombrándola bajo la extención .medusa. En ese punto los archivos están convertidos en piedra, son completamente inaccesibles y la llave solo la tienen los criminales. Terrible es la sorpresa de las empresas cuando les llega un archivo de texto indicándoles que tienen que pagar para recuperar su información o que de lo contrario será publicada en el blog oficial de la agrupación criminal”, detalló Kenneth Tovar Roca, Country Manager de Palo Alto Networks para Perú y Bolivia.
La investigación de UNIT 42 indica que Medusa ha recrudecido sus ataques luego del lanzamiento de su blog en 2023, porque es utilizado como una herramienta de extorsión múltiple. Los extorsionadores, además de exigir una cantidad de dinero importante por el rescate principal, también pueden pedir una tarifa estándar de 10.000 dólares por una prórroga para evitar que los datos se publiquen en el sitio web, y otras cantidades de dinero para que sus datos sean borrados o que puedan descargarse.
“Lamentablemente muchas empresas víctimas terminan pagando a los criminales para evitar que hagan pública la filtración, debido a que esto les generaría una gran pérdida reputacional frente a sus clientes y stakeholders, posibles anulaciones de contratos e incluso denuncias y multas”, comentó el experto en ciberseguridad.
Medusa es un “ransomware como servicio” (RaaS, por sus siglas en inglés), un modelo de negocio ilícito que permite que los cibercriminales lo compren o alquilen para cometer sus delitos, lo cual es mucho más fácil y rentable que diseñarlo y producirlo. De acuerdo con UNIT 42, según indica el blog Medusa, tan solo en 2023 el ransomware habría perjudicado a 74 instituciones alrededor del mundo, algunas de estas en países muy cercanos a Perú, como Bolivia, Brasil, Chile y Argentina.
Entre los sectores más afectados se encuentran la alta tecnología, educación, industria manufacturera, salud, consumo masivo y retail. Sin embargo, la diversidad de sectores afectados pone de manifiesto la naturaleza oportunista de este grupo, característica de muchas operaciones de ransomware. El ransomware Medusa no se limita a un único sector.
“Nos encontramos frente a una amenaza real y nuestras industrias deben estar preparadas para afrontarlas. Los clientes de Palo Alto Networks pueden confiar en los servicios de seguridad en la nube Cortex XDR y WildFire para mitigar las amenazas planteadas por el grupo Medusa. Estas medidas son cruciales para defender a las organizaciones de las actividades maliciosas de este y otros grupos a fin de que salvaguarden su valiosa información de posibles secuestros”, finalizó Tovar Roca.
Contenido GEC