La Unit 42, división de investigación de Palo Alto Networks (NASDAQ: PANW), compañía líder en ciberseguridad, identifica una escalada en las actividades maliciosas del ransomware del grupo Medusa y un cambio hacia tácticas de extorsión a principios de 2023 y caracterizadas por la web dedicada a filtraciones (DLS) denominada Medusa Blog.

Los actores de la amenaza Medusa utilizan esta web para revelar datos confidenciales de las víctimas que no estén dispuestas a cumplir con sus peticiones de rescate. Como parte de su estrategia de extorsión múltiple, este grupo ofrece a las víctimas múltiples opciones cuando sus datos se publican en su DLS (Dedicated Leak Sites por sus siglas en inglés), tales como la ampliación del plazo o bien la eliminación y la descarga de todos sus datos. Todas estas opciones tienen un precio concreto dependiendo de la organización afectada por el grupo. 

En su análisis, la Unit 42 determinó que el ransomware del grupo Medusa afectó a 74 organizaciones de todo el mundo en 2023 aproximadamente. Los más afectados han sido los sectores tecnológicos, educativos y de fabricación. Según los investigadores de Palo Alto Networks, la gran diversidad de sectores afectados pone de manifiesto la naturaleza oportunista de este grupo, característica de muchas operaciones de ransomware. 

Soporte de información

Además de la estrategia de utilizar una web .onion para extorsionar, los actores de Medusa también aprovechan un canal público de Telegram llamado «soporte de información», donde se han compartido públicamente archivos de organizaciones comprometidas y donde son más accesibles que las web .onion tradicionales. La Unit 42 ha respondido también a un incidente de ransomware Medusa. Esto ha permitido descubrir interesantes tácticas, herramientas y procedimientos utilizados por los actores de dicha amenaza.

La aparición del ransomware Medusa a finales de 2022 y su notoriedad en 2023 marcan un avance significativo en el panorama del ransomware. Este nuevo estudio determina la aparición de métodos de propagación complejos que aprovechan tanto las vulnerabilidades del sistema como los intermediarios de acceso, a la vez que evitan hábilmente la detección. 

En definitiva, el blog de Medusa supone una evolución táctica hacia la multiextorsión en la que el grupo emplea tácticas de presión sobre sus víctimas a través de peticiones de rescate publicadas en Internet. 

Por su parte, Palo Alto Networks asegura que sus clientes pueden estar mejor protegidos contra el ransomware gracias a Cortex XDR, así como de los servicios de seguridad en la nube WildFire para firewall de última generación. En particular, el agente Cortex XDR incluyó protecciones que evitaron el comportamiento adverso de las muestras del ransomware Medusa. A su vez, otros productos de la compañía como Cortex Xpanse pueden utilizarse para detectar servicios vulnerables y expuestos directamente a Internet que puedan ser explotables e infectados por Medusa u otro ransomware.