O ransomware Medusa, recentemente destacado pelos analistas da Unit 42, unidade de pesquisa da Palo Alto Networks, é uma ameaça em ascensão no cenário de segurança cibernética. Este grupo malicioso, conhecido pela família Medusa, ganhou notoriedade ao introduzir o Medusa Blog no início de 2023, marcando uma mudança nas suas táticas de extorsão. A família Medusa já tinha um histórico de sucesso com o MedusaLocker em anos anteriores, mas agora, com o ransomware Medusa, eles estão emergindo como uma ameaça proeminente desde o início de 2023.
Esse malware é altamente perigoso e pode impedir a restauração do sistema. Uma vez que os dados são sequestrados, o grupo Medusa exige o pagamento de um resgate para liberar as informações. Em caso de não conformidade, todas as informações roubadas são publicadas em um vídeo feito pelo grupo, intensificando a pressão sobre as vítimas.
“Utilizando o Medusa Blog como plataforma, o grupo Medusa adotou uma estratégia de multiextorsão. As vítimas que se recusam a atender às exigências do grupo têm a opção de escolher entre diferentes alternativas, como prorrogação do prazo, exclusão seletiva de dados ou o download completo das informações comprometidas, cada uma associada a um preço variável”, afirma Marcos Oliveira, country manager da Palo Alto Networks no Brasil.
Além disso, o grupo utiliza o canal público no Telegram chamado “suporte de informações” para compartilhar arquivos de organizações comprometidas, tornando-os mais acessíveis do que as tradicionais plataformas da Dark Web.
Em resposta a um incidente de ransomware Medusa, os pesquisadores da Unit 42 identificaram as táticas, ferramentas e procedimentos empregados pelo grupo. “Os clientes da Palo Alto Networks podem contar com a proteção do Cortex XDR e dos serviços de segurança da Nuvem WildFire para mitigar as ameaças representadas pelo grupo Medusa. Essas medidas são cruciais para defender organizações contra as atividades maliciosas desse grupo e proteger dados sensíveis contra potenciais sequestros”, completa Oliveira.
Medusa as a Service
Medusa emergiu como uma plataforma de Ransomware as a Service (RaaS) no final de 2022, ganhando notoriedade em 2023 ao direcionar principalmente ambientes Windows. Diferentemente do MedusaLocker, presente desde 2019, a análise da Unit 42 concentra-se no ransomware Medusa, que impacta organizações que usam Windows.
O grupo propaga seu ransomware através da exploração de serviços vulneráveis e do sequestro de contas legítimas, empregando intermediários de acesso inicial. A equipe da Unit 42 observou uma escalada nas atividades, marcada pelo lançamento do Medusa Blog em 2023, intensificando as táticas de multiextorsão.
Também foi observado que o ransomware Medusa implementa a técnica living-off-the-land (vivendo fora da terra, tradução livre), utilizando software legítimo para fins maliciosos, o que muitas vezes pode se misturar com tráfego e comportamento regulares, tornando mais difícil identificar essas atividades.
“Com base no Medusa Blog, identificamos que o ransomware impactou cerca de 74 organizações globalmente em 2023, afetando setores como alta tecnologia, educação e manufatura. A análise técnica revelou estratégias de exploração diferenciadas, incluindo o uso de webshells, que são programas maliciosos que permitem a invasores controlar servidores web e executar comandos não autorizados”, conclui o executivo.
Serviço
www.paloaltonetworks.com
Leia nesta edição:
CAPA | TECNOLOGIA
Centros de Dados privados ainda geram bons negócios
TENDÊNCIA
Processadores ganham centralidade com IA
TIC APLICADA
Digitalização do canteiro de obras
Esta você só vai ler na versão digital
TECNOLOGIA
A tecnologia RFID está madura, mas há espaço para crescimento
Baixe o nosso aplicativo