¿Está su organización a salvo de los ataques del ransomware Medusa?

El origen del ransomware Medusa

Medusa o MedusaBlog es un sofisticado grupo de ransomware que ha estado atacando activamente a organizaciones desde al menos principios de 2023. El grupo ha ganado notoriedad por sus rápidas capacidades de cifrado y técnicas únicas para propagar su malware y parece estar relacionado con MedusaLocker. El nombre "Medusa" refleja la tendencia del grupo a "convertir en piedra" metafóricamente los archivos, dejándolos inutilizables hasta que se pague un rescate.

Fuente: Unit42 y OCD

Objetivos

Objetivos de Medusa

Países objetivo del ransomware Medusa

La mayoría de los ataques de Medusa se han concentrado en Estados Unidos, pero también se han registrado incidentes significativos en países como Reino Unido, Canadá y Australia. Esta distribución indica una concentración en naciones desarrolladas con amplias infraestructuras digitales.

^Fuente:^Unit42

Sectores afectados por el ransomware Medusa

El ransomware Medusa ha afectado a una amplia gama de sectores. Entre los objetivos de alto valor se encuentran la sanidad, la industria manufacturera, la educación y los servicios profesionales, lo que refleja la estrategia del grupo de atacar sectores que manejan información crítica y sensible.

^Fuente:^Unit42

Sectores afectados por el ransomware Medusa

El ransomware Medusa ha afectado a una amplia gama de sectores. Entre los objetivos de alto valor se encuentran la sanidad, la industria manufacturera, la educación y los servicios profesionales, lo que refleja la estrategia del grupo de atacar sectores que manejan información crítica y sensible.

^Fuente:^Unit42

Víctimas del ransomware Medusa

Medusa ha atacado a más de 235 víctimas desde 2023.

Fuente: ransomware .live

Método de ataque

Método de ataque del ransomware Medusa

Una figura sombría tiende una amplia red sobre un paisaje digital repleto de diversos dispositivos, como ordenadores, teléfonos inteligentes y tabletas. La red simboliza los intentos del atacante de encontrar vulnerabilidades o utilizar técnicas de phishing para obtener acceso no autorizado.

Medusa suele obtener acceso explotando vulnerabilidades en protocolos de escritorio remoto (RDP) y empleando campañas de phishing . También utilizan credenciales comprometidas adquiridas por diversos medios.

Una escalera digital que se extiende hacia arriba desde un icono de usuario básico hacia una corona que simboliza privilegios administrativos. Esto representa los esfuerzos del atacante para obtener acceso de nivel superior dentro del sistema.

Una vez dentro de una red, Medusa emplea herramientas como PsExec para elevar privilegios y establecer una posición más fuerte dentro del sistema.

Un camaleón que se funde con un fondo digital, con ceros y unos fluyendo a su alrededor. Representa la capacidad del atacante para evitar ser detectado por las medidas de seguridad, cambiando de táctica para mezclarse con el tráfico normal de la red.

El grupo desactiva las herramientas de seguridad mediante scripts PowerShell y modifica la configuración del registro para evitar su detección. También utilizan técnicas de cifrado de cadenas para ocultar el código malicioso.

Un ladrón con una ganzúa trabajando en un ojo de cerradura gigante con forma de formulario de inicio de sesión, que representa los esfuerzos del atacante por robar credenciales de usuario para obtener acceso no autorizado.

Medusa recopila credenciales utilizando varias herramientas de línea de comandos y scripts, lo que les permite moverse lateralmente por la red.

Una lupa moviéndose sobre un mapa digital de una red, resaltando archivos, carpetas y conexiones de red. Esta imagen representa la fase en la que los atacantes exploran el entorno para comprender la estructura y dónde residen los datos valiosos.

Realizan un amplio reconocimiento de la red utilizando herramientas como Netscan para identificar objetivos valiosos y recopilar información sobre la topología de la red.

Una serie de nodos interconectados con una figura sombría moviéndose sigilosamente entre ellos. Esto ilustra los movimientos del atacante dentro de la red, buscando obtener el control de sistemas adicionales o propagarse malware.

Medusa utiliza herramientas y protocolos legítimos, como RDP y SMB, para moverse lateralmente dentro de la red, aprovechando las credenciales robadas.

Una gran aspiradora aspira archivos, iconos de datos y carpetas en una bolsa sostenida por una figura sombría. Esta imagen simboliza el proceso de recopilación de datos valiosos de la red objetivo.

El ransomware recopila datos confidenciales de los sistemas infectados, preparándolos para su exfiltración.

Una ventana de símbolo del sistema abierta delante de un fondo digital, con código malicioso siendo tecleado. Esto representa la fase en la que los atacantes ejecutan su carga maliciosa en el sistema comprometido.

El ransomware cifra los archivos mediante cifrado AES256, añadiendo la extensión ".medusa" a los archivos afectados.

Una serie de archivos que se canalizan a través de un canal encubierto desde un ordenador a una dirección cloud etiquetada con una calavera, que simboliza la transferencia no autorizada de datos a un lugar controlado por el atacante.

Los datos se filtran a servidores remotos controlados por los atacantes. Estos datos se utilizan para presionar a las víctimas para que paguen el rescate.

Una pantalla agrietada con un paisaje urbano digital en caos detrás, que simboliza el impacto destructivo del ciberataque, como la interrupción del servicio, la destrucción de datos o las pérdidas financieras.

La etapa final consiste en dejar caer una nota de rescate, normalmente llamada "!!read_me_medusa!!.txt", en la que se indica a las víctimas cómo pagar el rescate para descifrar sus archivos. El grupo utiliza una combinación de cifrado RSA y AES para proteger las transacciones del rescate.

Acceso inicial

Medusa suele obtener acceso explotando vulnerabilidades en protocolos de escritorio remoto (RDP) y empleando campañas de phishing . También utilizan credenciales comprometidas adquiridas por diversos medios.

Escalada de privilegios

Una vez dentro de una red, Medusa emplea herramientas como PsExec para elevar privilegios y establecer una posición más fuerte dentro del sistema.

Defensa Evasión

El grupo desactiva las herramientas de seguridad mediante scripts PowerShell y modifica la configuración del registro para evitar su detección. También utilizan técnicas de cifrado de cadenas para ocultar el código malicioso.

Acceso con credenciales

Medusa recopila credenciales utilizando varias herramientas de línea de comandos y scripts, lo que les permite moverse lateralmente por la red.

Descubrimiento

Realizan un amplio reconocimiento de la red utilizando herramientas como Netscan para identificar objetivos valiosos y recopilar información sobre la topología de la red.

Movimiento lateral

Medusa utiliza herramientas y protocolos legítimos, como RDP y SMB, para moverse lateralmente dentro de la red, aprovechando las credenciales robadas.

Colección

El ransomware recopila datos confidenciales de los sistemas infectados, preparándolos para su exfiltración.

Ejecución

El ransomware cifra los archivos mediante cifrado AES256, añadiendo la extensión ".medusa" a los archivos afectados.

Exfiltración

Los datos se filtran a servidores remotos controlados por los atacantes. Estos datos se utilizan para presionar a las víctimas para que paguen el rescate.

Impacto

La etapa final consiste en dejar caer una nota de rescate, normalmente llamada "!!read_me_medusa!!.txt", en la que se indica a las víctimas cómo pagar el rescate para descifrar sus archivos. El grupo utiliza una combinación de cifrado RSA y AES para proteger las transacciones del rescate.

MITRE ATT&CK Cartografía

TTPs utilizados por el ransomware Medusa

El ransomware Medusa emplea varias TTP alineadas con el marco MITRE ATT&CK . Algunas de las principales TTP son:

TA0001: Initial Access

T1566

Phishing

T1133

External Remote Services

T1078

Valid Accounts

TA0002: Execution

T1059

Command and Scripting Interpreter

TA0003: Persistence

T1098

Account Manipulation

T1078

Valid Accounts

TA0004: Privilege Escalation

T1078

Valid Accounts

TA0005: Defense Evasion

T1112

Modify Registry

T1027

Obfuscated Files or Information

T1070

Indicator Removal

T1562

Impair Defenses

T1078

Valid Accounts

TA0006: Credential Access

T1003

OS Credential Dumping

TA0007: Discovery

T1046

Network Service Discovery

T1018

Remote System Discovery

TA0008: Lateral Movement

T1021

Remote Services

TA0009: Collection

T1115

Clipboard Data

TA0011: Command and Control

T1105

Ingress Tool Transfer

TA0010: Exfiltration

T1041

Exfiltration Over C2 Channel

TA0040: Impact

T1486

Data Encrypted for Impact

Detección de plataformas

Cómo detectar el ransomware Medusa con Vectra AI

AWS Ransomware S3 Activity

M365 Internal Spearphishing

M365 Ransomware

RDP Recon

Ransomware File Activity

Suspicious Port Scan

Ver más detecciones

Evalúe su exposición a los ataques

Preguntas frecuentes

¿Cuál es el principal método de acceso inicial de Medusa?

Medusa aprovecha principalmente vulnerabilidades en protocolos de escritorio remoto (RDP) y utiliza campañas de phishing para obtener acceso inicial.

¿Cómo elude la detección el ransomware Medusa?

Utilizan scripts PowerShell y modifican la configuración del registro para desactivar las herramientas de seguridad y evitar su detección.

¿Cuáles son los sectores más afectados por el ransomware Medusa?

La sanidad, la industria manufacturera, la educación y los servicios profesionales son algunos de los sectores más afectados.

¿Qué métodos de cifrado utiliza el ransomware Medusa?

Medusa utiliza una combinación de cifrado RSA y AES256 para proteger sus transacciones de ransomware y cifrar los archivos de las víctimas.

¿Cómo exfiltra datos el ransomware Medusa?

Los datos se filtran a servidores remotos controlados por los atacantes, normalmente a través de canales seguros para evitar su detección.

¿Cuál es el nombre típico de la nota de rescate utilizada por Medusa?

La nota de rescate suele llamarse "!!read_me_medusa!!.txt".

¿Qué herramientas utiliza el ransomware Medusa para descubrir la red?

Medusa utiliza herramientas como Netscan para el reconocimiento de redes y la identificación de objetivos valiosos.

¿Cómo consigue el ransomware Medusa el movimiento lateral?

Utilizan herramientas y protocolos legítimos como RDP y SMB, aprovechando credenciales robadas para desplazarse lateralmente.

¿Cómo pueden protegerse las organizaciones contra el ransomware Medusa?

La aplicación de medidas de seguridad sólidas, como la aplicación periódica de parches, el uso de autenticación multifactor y la supervisión del tráfico de red en busca de actividad inusual, puede ayudar a protegerse contra Medusa.

¿Qué papel pueden desempeñar las soluciones XDR en la defensa contra el ransomware Medusa?

Las soluciones XDR proporcionan una visibilidad completa y capacidades de respuesta automatizadas, detectando y mitigando actividades sospechosas en puntos finales, redes y entornos cloud .

¿Está su organización a salvo de los ataques del ransomware Medusa?

Evalúe su exposición a los ataques