{"id":1610553,"date":"2025-03-06T21:27:36","date_gmt":"2025-03-06T21:27:36","guid":{"rendered":"https:\/\/teknomers.com\/es\/medusa-ransomware-golpea-mas-de-40-victimas-en-2025-exige-100k-15-millones-de-rescate\/"},"modified":"2025-03-06T21:27:42","modified_gmt":"2025-03-06T21:27:42","slug":"medusa-ransomware-golpea-mas-de-40-victimas-en-2025-exige-100k-15-millones-de-rescate","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/medusa-ransomware-golpea-mas-de-40-victimas-en-2025-exige-100k-15-millones-de-rescate\/","title":{"rendered":"Medusa Ransomware golpea m\u00e1s de 40 v\u00edctimas en 2025, exige $ 100k\u2013 $ 15 millones de rescate"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>06 de marzo de 2025<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Inteligencia \/ vulnerabilidad de amenazas<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Los actores de amenaza detr\u00e1s del ransomware Medusa han reclamado casi 400 v\u00edctimas desde que surgi\u00f3 por primera vez en enero de 2023, con los ataques con motivaci\u00f3n financiera que presencian un aumento del 42% entre 2023 y 2024.<\/p>\n

Solo en los primeros dos meses de 2025, el grupo ha reclamado m\u00e1s de 40 ataques, seg\u00fan datos del equipo de Symantec Amenazing Hunter, dijo en un informe compartido con The Hacker News. La compa\u00f1\u00eda de seguridad cibern\u00e9tica est\u00e1 rastreando el cl\u00faster bajo el nombre de Spearwing.<\/p>\n

“Al igual que la mayor\u00eda de los operadores de ransomware, Spearwing y sus afiliados llevan a cabo ataques de doble extorsi\u00f3n, robando los datos de las v\u00edctimas antes de encriptar las redes para aumentar la presi\u00f3n sobre las v\u00edctimas para pagar un rescate”, Symantec anotado<\/a>.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

“Si las v\u00edctimas se niegan a pagar, el grupo amenaza con publicar los datos robados en su sitio de fugas de datos”.<\/p>\n

Mientras que otros jugadores de ransomware como servicio (RAAS) como Ransomhub (tambi\u00e9n conocido como Greenbottle y Cyclops), Play (tambi\u00e9n conocido como Balloonfly) y Qilin (AKA Agenda, Stinkbug y Water Galura) tienen beneficiado<\/a> A partir de las interrupciones de Lockbit y Blackcat, el pico en las infecciones de Medusa plantea la posibilidad de que el actor de la amenaza tambi\u00e9n se apresure para llenar el vac\u00edo dejado por los dos extorsionistas prol\u00edficos.<\/p>\n

El desarrollo se produce a medida que el panorama de ransomware contin\u00faa en un estado de flujo, con un flujo constante de nuevas operaciones RAAS, como Anubis<\/a>, Cipherlocker<\/a>, Centro<\/a>, Dange<\/a>, Lcryx<\/a>, Loches<\/a>, VGOD<\/a>y Xelera<\/a>emergiendo en la naturaleza en los \u00faltimos meses.<\/p>\n

\"\"<\/a><\/div>\n

Medusa tiene un historial de rescates exigentes entre $ 100,000 hasta $ 15 millones de proveedores de atenci\u00f3n m\u00e9dica y organizaciones sin fines de lucro, as\u00ed como para dirigirse a organizaciones financieras y gubernamentales.<\/p>\n

Las cadenas de ataque montadas por el sindicato de ransomware implican la explotaci\u00f3n de fallas de seguridad conocidas en aplicaciones de orientaci\u00f3n p\u00fablica, principalmente Microsoft Exchange Server, para obtener acceso inicial. Tambi\u00e9n se sospecha que los actores de amenaza probablemente est\u00e1n utilizando corredores de acceso iniciales para violar redes de inter\u00e9s.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Una vez que ganan un punto de apoyo exitoso, los piratas inform\u00e1ticos usan software de administraci\u00f3n y monitoreo remotos (RMM), como SimpleHelp, AnyDesk o Meshagent para un acceso persistente, y emplean la t\u00e9cnica de Tray y Testado Traye Your Own Vulnerable Driver (BYOVD) para finalizar los procesos antivirus utilizando killav. Vale la pena se\u00f1alar que Killav se ha utilizado previamente en ataques de ransomware BlackCat.<\/p>\n

“El uso del despliegue PDQ de software RMM leg\u00edtimo es otro sello distintivo de los ataques de ransomware Medusa”, dijo Symantec. “Por lo general, los atacantes usan otras herramientas y archivos y se mueven lateralmente a trav\u00e9s de la red de v\u00edctimas”.<\/p>\n

Algunas de las otras herramientas implementadas en el curso de un ataque de ransomware Medusa incluyen Navicat para acceder y ejecutar consultas de bases de datos, robocopy y rClone para la exfiltraci\u00f3n de datos.<\/p>\n

“Como la mayor\u00eda de los grupos de ransomware espec\u00edficos, Spearwing tiende a atacar a grandes organizaciones en una variedad de sectores”, dijo Symantec. “Los grupos de ransomware tienden a ser impulsados \u200b\u200bpor las ganancias, y no por ninguna consideraci\u00f3n ideol\u00f3gica o moral”.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n