Añadió que el grupo no tiene un código de ética, como algunos grupos afirman tener. “A lo largo de 2023, vimos al grupo comprometer varios distritos escolares y publicar información muy confidencial sobre los estudiantes”, dice Santos.
Medusa utiliza intermediarios de acceso inicial para el acceso a la red
Otras distinciones incluyen que Medusa tenga su propio equipo de medios y marca, se centre en explotar las vulnerabilidades de Internet y utilice intermediarios de acceso inicial (IAB) para obtener acceso a los sistemas. «Los corredores de acceso inicial brindan a los actores de amenazas acceso de valet a la puerta principal de una organización», explica Galiette. «Si bien esto conlleva un costo, aprovechar estos grupos ha demostrado ser muy lucrativo en el pasado».
“En general”, añade Galiette, “estamos viendo que los grupos de ransomware más activos o avanzados aprovechan los intermediarios de acceso inicial. Los grupos de ransomware más pequeños o emergentes no necesariamente tienen el capital para aprovechar los IAB de la misma manera”.
El grupo también acepta rescates dobles. «El uso de un doble rescate es notable para Medusa, donde aprovechan un rescate para descifrar las partes cifradas de un entorno y una demanda de extorsión separada para evitar la filtración de datos robados de sus víctimas a Internet», dice Steve Stone, jefe de Rubrik Zero Labs, la unidad de investigación de ciberseguridad de Rubrik, una empresa global de software de respaldo y seguridad de datos.
Ataque indiscriminado a una amenaza universal planteada por actores de ransomware
La aparición del ransomware Medusa a finales de 2022 y su notoriedad en 2023 marca un avance significativo en el panorama del ransomware, señaló el informe de la Unidad 42. Esta operación muestra métodos de propagación complejos, aprovechando tanto las vulnerabilidades del sistema como los intermediarios de acceso inicial, al tiempo que evita hábilmente la detección mediante técnicas de subsistencia.
El Blog Medusa significa una evolución táctica hacia la extorsión múltiple, en la que el grupo emplea tácticas de presión transparentes sobre las víctimas a través de demandas de rescate publicadas en línea, continuó. Con 74 organizaciones en un espectro de industrias afectadas hasta la fecha, el ataque indiscriminado de Medusa enfatiza la amenaza universal que representan estos actores del ransomware.