Los actores de amenaza detrás del ransomware Medusa han reclamado casi 400 víctimas desde que surgió por primera vez en enero de 2023, con los ataques con motivación financiera que presencian un aumento del 42% entre 2023 y 2024.
Solo en los primeros dos meses de 2025, el grupo ha reclamado más de 40 ataques, según datos del equipo de Symantec Amenazing Hunter, dijo en un informe compartido con The Hacker News. La compañía de seguridad cibernética está rastreando el clúster bajo el nombre de Spearwing.
“Al igual que la mayoría de los operadores de ransomware, Spearwing y sus afiliados llevan a cabo ataques de doble extorsión, robando los datos de las víctimas antes de encriptar las redes para aumentar la presión sobre las víctimas para pagar un rescate”, Symantec anotado.
“Si las víctimas se niegan a pagar, el grupo amenaza con publicar los datos robados en su sitio de fugas de datos”.
Mientras que otros jugadores de ransomware como servicio (RAAS) como Ransomhub (también conocido como Greenbottle y Cyclops), Play (también conocido como Balloonfly) y Qilin (AKA Agenda, Stinkbug y Water Galura) tienen beneficiado A partir de las interrupciones de Lockbit y Blackcat, el pico en las infecciones de Medusa plantea la posibilidad de que el actor de la amenaza también se apresure para llenar el vacío dejado por los dos extorsionistas prolíficos.
El desarrollo se produce a medida que el panorama de ransomware continúa en un estado de flujo, con un flujo constante de nuevas operaciones RAAS, como Anubis, Cipherlocker, Centro, Dange, Lcryx, Loches, VGODy Xeleraemergiendo en la naturaleza en los últimos meses.
Medusa tiene un historial de rescates exigentes entre $ 100,000 hasta $ 15 millones de proveedores de atención médica y organizaciones sin fines de lucro, así como para dirigirse a organizaciones financieras y gubernamentales.
Las cadenas de ataque montadas por el sindicato de ransomware implican la explotación de fallas de seguridad conocidas en aplicaciones de orientación pública, principalmente Microsoft Exchange Server, para obtener acceso inicial. También se sospecha que los actores de amenaza probablemente están utilizando corredores de acceso iniciales para violar redes de interés.
Una vez que ganan un punto de apoyo exitoso, los piratas informáticos usan software de administración y monitoreo remotos (RMM), como SimpleHelp, AnyDesk o Meshagent para un acceso persistente, y emplean la técnica de Tray y Testado Traye Your Own Vulnerable Driver (BYOVD) para finalizar los procesos antivirus utilizando killav. Vale la pena señalar que Killav se ha utilizado previamente en ataques de ransomware BlackCat.
“El uso del despliegue PDQ de software RMM legítimo es otro sello distintivo de los ataques de ransomware Medusa”, dijo Symantec. “Por lo general, los atacantes usan otras herramientas y archivos y se mueven lateralmente a través de la red de víctimas”.
Algunas de las otras herramientas implementadas en el curso de un ataque de ransomware Medusa incluyen Navicat para acceder y ejecutar consultas de bases de datos, robocopy y rClone para la exfiltración de datos.
“Como la mayoría de los grupos de ransomware específicos, Spearwing tiende a atacar a grandes organizaciones en una variedad de sectores”, dijo Symantec. “Los grupos de ransomware tienden a ser impulsados por las ganancias, y no por ninguna consideración ideológica o moral”.
About the Author
