Grupo Medusa intensifica atividades de ransomware

Início / Tecnologia da Informação / Grupo Medusa intensifica atividades de ransomware

Grupo Medusa intensifica atividades de ransomware

Um grupo de ransomware em rápido crescimento está intensificando suas atividades e lançou um novo blog que oferece às vítimas uma variedade de opções de recompensa, de acordo com um relatório lançado quinta-feira pela Unidade 42 da Palo Alto Networks. O novo Medusa Blog é usado pelo grupo para postar dados roubados com a ameaça de expor os dados se a vítima não cumprir as exigências de resgate do grupo.

No site Onion, que pode ser acessado através da rede Tor, a vítima pode ver uma “contagem regressiva” até o momento em que seus dados se tornam públicos e disponíveis para download, uma etiqueta de preço para exclusão dos dados e o preço de uma extensão de tempo —US$ 10.000— por atrasar a exposição dos dados ao público.

Além do Blog Medusa, o grupo estabeleceu um canal público no Telegram denominado “suporte à informação”, que é mais acessível do que o Dark tradicional Web sites Onion, para expor arquivos roubados de organizações comprometidas.

“No último ano, vimos um número significativo de vulnerabilidades de alta gravidade acessíveis pela Internet que proporcionaram uma oportunidade notável para grupos de ransomware explorarem”, diz Anthony Galiette, Sr., engenheiro reverso da Unidade 42. “Acreditamos que essas vulnerabilidades críticas vulnerabilidades contribuíram para o aumento da atividade da Medusa nos últimos meses.

O grupo Medusa não possui código de ética.

Pode haver outra razão para o aumento da atividade da Medusa. “A Medusa tem tido muito sucesso ultimamente e é um grupo que tende a se concentrar especificamente no setor de saúde”, observa Darren Williams, CEO e fundador da BlackFog, uma empresa de segurança de terminais. “Isso pode ser um fator que contribui para o seu sucesso, já que o setor de saúde é rico em dados, mas pobre em termos de práticas de segurança cibernética e investimentos com hardware e software legados mais antigos.”

Doel Santos, principal pesquisador de ameaças da Unidade 42, aponta alguns aspectos distintivos da gangue Medusa. “Embora as capacidades técnicas variem entre grupos de ransomware, Medusa é um dos poucos que observamos usando ferramentas como o NetScan para preparar e implantar ransomware.”

Ele acrescentou que o grupo não possui um código de ética, como alguns grupos afirmam ter. “Ao longo de 2023, vimos o grupo comprometer vários distritos escolares e publicar informações altamente confidenciais sobre os alunos”, diz Santos.

Leia também: FBI alerta contra botnet Androxgh0st que rouba credenciais de nuvem

Medusa usa corretores de acesso inicial para acesso à rede

Outras distinções incluem a Medusa ter sua própria equipe de mídia e branding, com foco na exploração de vulnerabilidades enfrentadas pela Internet e no uso de corretores de acesso inicial (IABs) para obter acesso aos sistemas. “Os corretores de acesso inicial fornecem aos agentes de ameaças acesso de manobrista à porta de entrada de uma organização”, explica Galiette. “Embora haja um custo associado a isso, alavancar esses grupos provou ser muito lucrativo no passado.”

“No geral”, acrescenta Galiette, “estamos vendo os grupos de ransomware mais ativos ou avançados aproveitarem os corretores de acesso inicial. Os grupos de ransomware menores ou emergentes não têm necessariamente o capital para alavancar os IABs da mesma forma.”

O grupo também está envolvido em resgates duplos. “O uso de um resgate duplo é notável para a Medusa, onde eles aproveitam um resgate para descriptografar as partes criptografadas de um ambiente e uma exigência de extorsão separada para evitar o vazamento de dados roubados de suas vítimas na Internet em geral”, diz Steve Stone, chefe de Rubrik Zero Labs, a unidade de pesquisa de segurança cibernética da Rubrik, uma empresa global de segurança de dados e software de backup.

Alvo indiscriminado de uma ameaça universal representada por agentes de ransomware

O surgimento do ransomware Medusa no final de 2022 e sua notoriedade em 2023 marcam um desenvolvimento significativo no cenário do ransomware, observou o relatório da Unidade 42. Esta operação apresenta métodos de propagação complexos, aproveitando as vulnerabilidades do sistema e os intermediários de acesso inicial, ao mesmo tempo que evita habilmente a detecção através de técnicas de vida fora da terra.

O Blog Medusa significa uma evolução tática em direção à extorsão múltipla, com o grupo empregando táticas de pressão transparentes sobre as vítimas por meio de pedidos de resgate divulgados online, continuou. Com 74 organizações de vários setores afetadas até o momento, a segmentação indiscriminada da Medusa enfatiza a ameaça universal representada por tais atores de ransomware.

Leia também: Não há transformação digital sem segurança cibernética

“Como podemos ver pelas estatísticas, o problema não só está a piorar, como também a acelerar a um ritmo que as organizações não conseguem acompanhar”, acrescenta Williams. “Também precisamos de reconhecer que a revolução da IA ​​está a desempenhar um papel nesta tendência, pois agora vemos os agentes de ameaças treinarem os seus sistemas em vulnerabilidades, produtos e pessoas. Embora as empresas de segurança cibernética também utilizem a IA para prevenção, neste momento é um jogo de gato e rato e as organizações não estão a adotar estas novas tecnologias com rapidez suficiente, ou de todo, para fornecer proteção adequada.”

Roberto Magalhães

O cérebro editor por trás do Tecnologico.online, é um entusiasta apaixonado por tecnologia. Canaliza sua fascinação para criar conteúdo envolvente e informativo. Sua dedicação à inovação reflete-se nos artigos que produz, abrangendo uma ampla gama de tópicos tecnológicos. Com um olhar atento para as últimas tendências e desenvolvimentos, busca tornar...

Voltar para o blog

Deixe um comentário

Os comentários precisam ser aprovados antes da publicação.