O ransomware Medusa emergiu como uma plataforma de Ransomware as a Service (RaaS) no final de 2022, ganhando notoriedade em 2023 ao direcionar principalmente ambientes Windows. Diferentemente do MedusaLocker, presente desde 2019, a análise da Unit 42 concentra-se no ransomware Medusa, que impacta organizações que usam Windows.
O grupo propaga seu ransomware através da exploração de serviços vulneráveis e do sequestro de contas legítimas, empregando intermediários de acesso inicial. A equipe da Unit 42 observou uma escalada nas atividades, marcada pelo lançamento do Medusa Blog em 2023, intensificando as táticas de multiextorsão.
Também foi observado que o ransomware Medusa implementa a técnica living-off-the-land (vivendo fora da terra, tradução livre), utilizando software legítimo para fins maliciosos, o que muitas vezes pode se misturar com tráfego e comportamento regulares, tornando mais difícil identificar essas atividades.
O Medusa foi destacado pelos analistas da Unit 42, unidade de pesquisa da Palo Alto Networks, e ganhou notoriedade ao introduzir o Medusa Blog no início de 2023, marcando uma mudança nas suas táticas de extorsão.
A família Medusa já tinha um histórico de sucesso com o MedusaLocker em anos anteriores, mas agora, com o ransomware Medusa, eles estão emergindo como uma ameaça proeminente desde o início de 2023.
Esse malware é altamente perigoso e pode impedir a restauração do sistema. Uma vez que os dados são sequestrados, o grupo Medusa exige o pagamento de um resgate para liberar as informações. Em caso de não conformidade, todas as informações roubadas são publicadas em um vídeo feito pelo grupo, intensificando a pressão sobre as vítimas.
Além disso, o grupo utiliza o canal público no Telegram chamado "suporte de informações" para compartilhar arquivos de organizações comprometidas, tornando-os mais acessíveis do que as tradicionais plataformas da dark web.
Em resposta a um incidente de ransomware Medusa, os pesquisadores da Unit 42 identificou as táticas, ferramentas e procedimentos empregados pelo grupo. "Os clientes da Palo Alto Networks podem contar com a proteção do Cortex XDR e dos serviços de segurança da nuvem WildFire para mitigar as ameaças representadas pelo grupo Medusa. Essas medidas são cruciais para defender organizações contra as atividades maliciosas desse grupo e proteger dados sensíveis contra potenciais sequestros", explica Marcos Oliveira, Country Manager da Palo Alto Networks no Brasil.
Visão geral do ransomware Medusa as a service
Medusa emergiu como uma plataforma de Ransomware as a Service (RaaS) no final de 2022, ganhando notoriedade em 2023 ao direcionar principalmente ambientes Windows. Diferentemente do MedusaLocker, presente desde 2019, a análise da Unit 42 concentra-se no ransomware Medusa, que impacta organizações que usam Windows.
O grupo propaga seu ransomware através da exploração de serviços vulneráveis e do sequestro de contas legítimas, empregando intermediários de acesso inicial. A equipe da Unit 42 observou uma escalada nas atividades, marcada pelo lançamento do Medusa Blog em 2023, intensificando as táticas de multiextorsão.
Também foi observado que o ransomware Medusa implementa a técnica living-off-the-land (vivendo fora da terra, tradução livre), utilizando software legítimo para fins maliciosos, o que muitas vezes pode se misturar com tráfego e comportamento regulares, tornando mais difícil identificar essas atividades.