A CISA, FBI e MS-ISAC emitiram um alerta sobre o ransomware Medusa, que tem como alvo infraestruturas críticas e já atingiu mais de 300 organizações desde junho de 2021.
Inicialmente operando como um grupo fechado, o Medusa adotou o modelo Ransomware-as-a-Service (RaaS), permitindo que afiliados conduzam ataques. No entanto, as negociações de resgate continuam sob o controle dos desenvolvedores do malware. O grupo oferece incentivos financeiros, pagando entre US$ 100 mil e US$ 1 milhão para afiliados que trabalhem exclusivamente para eles.
O método de ataque envolve dupla extorsão, onde os hackers criptografam e roubam dados das vítimas, ameaçando divulgá-los caso o resgate não seja pago. O acesso inicial às redes ocorre por meio de phishing e exploração de falhas de segurança, incluindo:
- CVE-2024-1709 – Falha “SlashAndGrab” no ScreenConnect
- CVE-2023-48788 – Injeção SQL no Fortinet EMS
Os invasores utilizam técnicas LOTL (“Living-off-the-Land”), aproveitando ferramentas legítimas para movimentação na rede, evasão de detecção e exfiltração de dados. Antes de criptografar os arquivos, eles desativam sistemas de segurança, encerram processos de backup e deletam cópias-sombra, dificultando a recuperação dos dados.
Na dark web, o grupo publica suas vítimas, exige resgates e vende dados roubados. Além disso, eles contatam as vítimas diretamente por telefone ou e-mail, permitindo a extensão do prazo de pagamento mediante uma taxa de US$ 10 mil por dia.
Um caso investigado pelo FBI revelou um possível esquema de tripla extorsão, onde um hacker exigiu um segundo pagamento alegando que o primeiro negociador havia desviado os fundos, forçando a vítima a pagar novamente para obter a chave de descriptografia correta.
O alerta das autoridades acontece em meio a um aumento recente nos ataques, também identificado pela Symantec. O Medusa, também chamado de Spearwing ou Storm-1175, tem ampliado sua atuação, atingindo empresas nos EUA, Austrália, Israel, Índia, Portugal, Reino Unido, Emirados Árabes Unidos e outras regiões.
