Alertas de Seguridad

Se intensifican los ataques del ransomware Medusa

Que convierte información empresarial en piedra

[20/02/2024] El grupo de cibercriminales Medusa, especializado en el secuestro y encriptación de información de organizaciones y empresas que utilizan Windows, ha intensificado sus tácticas de multiextorsión, de acuerdo con una investigación desarrollada por UNIT 42, la Unidad de Investigación y Amenazas de Palo Alto Networks.

"El grupo criminal ha desarrollado un ransomware homónimo, Medusa, cuya propagación, aprovecha las vulnerabilidades del sistema de sus víctimas, utilizando "webshells, programas maliciosos que controlan los servidores web y ejecutan comandos no autorizados. Luego de instalarse, Medusa sobrevive sin que los antivirus convencionales y los equipos de TI puedan percatarse de su actividad maliciosa, porque hace uso de la técnica "Living off the land (LOTL), que imita el comportamiento normal del sistema, detalló Kenneth Tovar Roca, country manager de Palo Alto Networks para Perú y Bolivia.

Una vez dentro del sistema, agregó el ejecutivo, el grupo Medusa secuestra la información confidencial de la empresa encriptándola a nivel militar, renombrándola bajo la extensión ".medusa. "En ese punto los archivos están convertidos en piedra, son completamente inaccesibles y la llave solo la tienen los criminales. Terrible es la sorpresa de las empresas cuando les llega un archivo de texto indicándoles que tienen que pagar para recuperar su información o que de lo contrario será publicada en el blog oficial de la agrupación criminal.

Palo Alto Networks, ransomware, seguridad, UNIT 42, Medusa

Extorsionadores han atacado cerca de Perú

Tovar señaló que la investigación de UNIT 42 indica que Medusa ha recrudecido sus ataques luego del lanzamiento de su blog en el 2023, porque es utilizado como una herramienta de extorsión múltiple. "Los extorsionadores, además de exigir una cantidad de dinero importante por el rescate principal, también pueden pedir una tarifa estándar de 10 mil dólares por una prórroga para evitar que los datos se publiquen en el sitio web, y otras cantidades de dinero para que sus datos sean borrados o que puedan descargarse. Lamentablemente muchas empresas víctimas terminan pagando a los criminales para evitar que hagan pública la filtración, debido a que esto les generaría una gran pérdida reputacional frente a sus clientes y stakeholders, posibles anulaciones de contratos e incluso denuncias y multas, comentó el experto en ciberseguridad.

Medusa es un "ransomware como servicio (RaaS, por sus siglas en inglés), un modelo de negocio ilícito que permite que los cibercriminales lo compren o alquilen para cometer sus delitos, lo cual es mucho más fácil y rentable que diseñarlo y producirlo. De acuerdo con UNIT 42, según indica el blog Medusa, tan solo en 2023 el ransomware habría perjudicado a 74 instituciones al rededor del mundo, algunas de estas en países muy cercanos a Perú, como Bolivia, Brasil, Chile y Argentina.

Palo Alto Networks, ransomware, seguridad, UNIT 42, Medusa

Entre los sectores más afectados se encuentran la alta tecnología, educación, industria manufacturera, salud, consumo masivo y retail. "Sin embargo, la diversidad de sectores afectados pone de manifiesto la naturaleza oportunista de este grupo, característica de muchas operaciones de ransomware. El ransomware Medusa no se limita a un único sector, anotó Tovar.

Llegamos a ustedes gracias a:


BrandPosts Qué es BrandPost

Más »
×
Los artículos publicados en esta sección -BrandPosts- son escritos y editados por los proveedores o miembros de la comunidad TI. BrandPosts crea una oportunidad para que un patrocinador proporcione información y comentarios desde su punto de vista, directamente a la audiencia de CTOPerú. El equipo editorial de CTOPerú no participa en la redacción o edición de estos BrandPosts.

Primer contacto

Más »

Recursos

Más »