(https://i.imgur.com/5BjDgy2.png)
La CISA (Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU.) ha informado que la operación de ransomware Medusa ha impactado a más de 300 organizaciones en sectores de infraestructura crítica en los Estados Unidos hasta febrero de 2025.
Este aviso fue emitido en conjunto con la Oficina Federal de Investigaciones (FBI) y el Centro de Análisis e Intercambio de Información Multiestatal (MS-ISAC).
Impacto del ransomware Medusa en infraestructura críticaSegún el informe, Medusa ha atacado una amplia gama de industrias, incluyendo:
- Salud y medicina
- Educación
- Sector legal
- Seguros
- Tecnología
- Manufactura
La CISA, el FBI y MS-ISAC han instado a las organizaciones a aplicar medidas de seguridad recomendadas para reducir el riesgo de infecciones por ransomware Medusa.
Historia y evolución de la operación MedusaEl ransomware Medusa apareció por primera vez en enero de 2021, pero su actividad aumentó significativamente en 2023 con el lanzamiento del sitio de filtraciones Medusa Blog. A través de este portal, la banda presiona a sus víctimas para que paguen rescates mediante la publicación de datos robados.
Desde su aparición, Medusa ha afectado a más de 400 víctimas en todo el mundo. Algunos ataques notables incluyen:
- Marzo de 2023: Ataque al distrito escolar Minneapolis Public Schools (MPS), con la posterior publicación de un video de los datos robados.
- Noviembre de 2023: Filtración de archivos de Toyota Financial Services tras negarse a pagar un rescate de 8 millones de dólares.
Inicialmente, Medusa operaba como un ransomware cerrado, con un solo grupo de ciberdelincuentes a cargo del desarrollo y ataques. Sin embargo, ha evolucionado hacia un modelo de Ransomware-as-a-Service (RaaS), donde múltiples afiliados realizan ataques mientras los desarrolladores supervisan las operaciones clave, incluidas las negociaciones de rescate.
Cómo protegerse del ransomware MedusaPara minimizar el riesgo de ataques de ransomware Medusa, CISA recomienda implementar las siguientes medidas de seguridad:
✅ Actualizar software y sistemas operativos para corregir vulnerabilidades de seguridad conocidas.
✅ Segmentar redes internas para evitar el movimiento lateral de malware entre dispositivos.
✅ Filtrar el tráfico de red, bloqueando accesos no confiables a sistemas internos.
Diferencias entre Medusa y otras amenazas con el mismo nombreEs importante diferenciar el ransomware Medusa de otras amenazas con el mismo nombre, como:
- Medusa Botnet: Basada en Mirai, con capacidades de ransomware.
- Medusa Malware-as-a-Service (MaaS): Malware para Android, también conocido como TangleBot (descubierto en 2020).
- MedusaLocker: Otra operación de ransomware diferente a Medusa.
La confusión en torno a estas amenazas ha generado informes incorrectos sobre el ransomware Medusa, lo que ha llevado a que algunos lo relacionen erróneamente con MedusaLocker.
En conclusión, el ransomware Medusa sigue siendo una amenaza activa para la infraestructura crítica en EE.UU. y a nivel mundial. Con más de 400 víctimas desde su aparición y un crecimiento sostenido, es crucial que organizaciones de todos los sectores implementen medidas de seguridad para prevenir ataques y proteger sus datos.
El mes pasado, la CISA y el FBI también emitieron una alerta sobre el ransomware Ghost, que ha afectado a organizaciones en más de 70 países, incluyendo sectores clave de infraestructura crítica.
Fuente: https://www.bleepingcomputer.com/