Ransomware Medusa ataca infraestruturas críticas e faz 300 vítimas

A CISA, o FBI e o MS-ISAC emitiram um alerta conjunto sobre os ataques do ransomware Medusa, que tem como alvo organizações de infraestrutura crítica.

Desde junho de 2021, afiliados do modelo ransomware-as-a-service (RaaS) do Medusa já atacaram mais de 300 organizações, segundo autoridades dos Estados Unidos.

Inicialmente, o Medusa operava como um ransomware fechado. No entanto, mesmo após a adoção do modelo de afiliados, as negociações de resgate ainda são conduzidas pelos próprios desenvolvedores do malware, de acordo com o comunicado das agências de segurança.

O grupo utiliza a tática de dupla extorsão, criptografando os dados das vítimas e roubando informações, ameaçando divulgá-las caso o resgate não seja pago. Os operadores do Medusa oferecem pagamentos entre US$ 100 mil e US$ 1 milhão para afiliados que trabalhem exclusivamente para eles.

Os hackers têm sido observados utilizando phishing para roubo de credenciais e explorando falhas de segurança não corrigidas para obter acesso inicial aos sistemas. Entre as vulnerabilidades exploradas estão:

• CVE-2024-1709 (falha "SlashAndGrab" no ScreenConnect)

• CVE-2023-48788 (falha de injeção SQL no Fortinet EMS)

Os afiliados do ransomware Medusa usam técnicas de “Living-off-the-Land” (LOTL) e ferramentas legítimas para reconhecimento, evasão de detecção, movimentação lateral na rede e exfiltração de dados.

Antes de criptografar os dados, os invasores desativam softwares de segurança, encerram processos relacionados a backups, proteção de dados e comunicação, além de apagarem cópias-sombra para impedir a recuperação dos arquivos.

"Os hackers então desligam manualmente e criptografam máquinas virtuais, além de removerem as ferramentas previamente instaladas," afirmam as agências de segurança.

O grupo exibe suas vítimas em um site na dark web, onde divulga exigências de resgate e vende dados roubados. Ele também costuma entrar em contato com as vítimas por telefone ou e-mail, permitindo que o prazo do pagamento seja estendido mediante um pagamento adicional de US$ 10.000 por dia.

"Em uma investigação do FBI, uma vítima que pagou o resgate foi contatada por outro hacker do Medusa, que afirmou que o negociador havia roubado o valor pago e exigiu que metade do pagamento fosse feito novamente para fornecer o 'verdadeiro descriptografador' — indicando um possível esquema de tripla extorsão," alerta o comunicado do governo dos EUA.

O aviso conjunto da CISA, FBI e MS-ISAC ocorre cerca de uma semana após a Symantec relatar um aumento nos ataques do Medusa. O grupo, também rastreado como Spearwing e Storm-1175, tem como alvos organizações nos EUA, Austrália, Israel, Índia, Portugal, Reino Unido, Emirados Árabes Unidos e outros países.

Via - SW