Faraday
X-twitter Linkedin Whatsapp Facebook Instagram Youtube

El ransomware Medusa se cobró más de 40 víctimas en 2025, con ataques confirmados al sector sanitario estadounidense

El ransomware Medusa se cobró más de 40 víctimas en 2025. Ésto representa casi el doble de la cantidad de ataques de Medusa observados en enero y febrero de 2024, según un nuevo análisis del equipo de detección de amenazas de Symantec.

En total, Medusa ha registrado casi 400 víctimas en su sitio web de filtraciones de datos desde que comenzó a operar a principios de 2023.

La empresa de ciberseguridad cree que el número real de víctimas probablemente sea mucho mayor. Los hallazgos no incluyen a las víctimas que pagaron un rescate para evitar la publicación de la información robada.

Los rescates exigidos por los atacantes que utilizan el ransomware Medusa han oscilado entre 100.000 y 15 millones de dólares.

El número de víctimas reclamadas por Medusa ha aumentado en los últimos 12 meses. Es probable que los operadores de ransomware se hayan aprovechado del declive de grandes grupos de ransomware como servicio (RaaS), como BlackCat y LockBit, tras las medidas policiales de 2023 y 2024.

Se cree que Medusa es operado como RaaS por un grupo al que Symantec identifica como Spearwing.

El ransomware Medusa actual es diferente de la variante anterior de MedusaLocker, con la que no se cree que Spearwing tenga ningún vínculo.

Medusa utiliza tácticas de doble extorsión: roba los datos de las víctimas antes de cifrar las redes para presionarlas a pagar un rescate. Los investigadores creen que Spearwing y sus afiliados suelen obtener acceso inicial explotando vulnerabilidades sin parchear en aplicaciones públicas, en particular en servidores Microsoft Exchange.

Luego, implementan diversas herramientas legítimas y de uso compartido para evadir la detección, lograr movimiento lateral y exfiltrar datos antes de cifrar los sistemas.

Estos incluyen:

  • Software de administración y monitorización remota (RMM), como SimpleHelp o AnyDesk, para descargar controladores.
  • El RMM PDQ Deploy para instalar otras herramientas y moverse lateralmente por la red víctima.
    Uso de la técnica «Bring Your Own Vulnerable Driver» (BYOVD), en la que los atacantes instalan un controlador vulnerable firmado en la red objetivo, que luego explotan para desactivar el software de seguridad y evadir la detección.
  • Herramientas utilizadas para buscar y copiar datos relevantes para la exfiltración, como Navicat y RoboCopy.

Una vez ejecutado el ransomware, se añade la extensión .medusa a los archivos cifrados y se instala una nota de rescate llamada !READ_ME_MEDUSA!!!.txt en los equipos cifrados.

El importe del rescate varía según las víctimas, a quienes se les da un plazo de 10 días para pagar y se les cobran 10 000 $ al día si desean extender este plazo.

Medusa también puede eliminarse a sí mismo de los equipos víctimas una vez ejecutado el rescate, lo que dificulta a los investigadores determinar el origen del ataque.

Los investigadores de Symantec afirmaron que las tácticas, procedimientos y procedimientos de Medusa se han mantenido constantes desde principios de 2023. Esto sugiere que Spearwing trabaja con un pequeño número de afiliados y les proporciona una guía sobre cómo ejecutar los ataques y la cadena de ataque a utilizar.

Symantec destacó un ataque de Medusa contra una organización sanitaria estadounidense no identificada en enero de 2025, que infectó cientos de equipos.

La actividad del atacante se produjo por primera vez en la red cuatro días antes de la implementación del ransomware, lo que pone de relieve la tendencia a un mayor tiempo de permanencia en las redes de las víctimas para identificar datos valiosos que se puedan exfiltrar.

Los investigadores encontraron indicios de actividad de teclado, en lugar de un ataque automatizado.

En un nuevo análisis, el sitio web para consumidores Comparitech informó que siete de los 959 ataques de ransomware confirmados en febrero afectaron al sector sanitario.

Comparitech descubrió que Medusa fue responsable de tres de los siete ataques al sector sanitario, dos en EE. UU. y uno en el Reino Unido.

  • SimonMed Imaging: Medusa afirmó en su sitio web haber robado 2013 GB de datos del proveedor de imágenes médicas. Sin embargo, la empresa estadounidense afirmó haber «interrumpido» a los atacantes y que no se cifraron los datos.
  • Bell Ambulance: el proveedor de ambulancias con sede en Wisconsin notificó a sus empleados sobre un ataque a mediados de febrero. Medusa afirmó haber exigido un rescate de 400.000 dólares a la empresa por los 212 GB robados.
  • HCRG Care Group: el grupo independiente de atención médica del Reino Unido confirmó haber sufrido un ataque de ransomware. Medusa afirmó haber exigido un rescate de 2 millones de dólares tras el presunto robo de casi 2,3 TB de datos.

ARTÍCULOS RELACIONADOS

SendmarcBig Head

OPINIÓN

La plataforma de seguridad en la nube de Kaspersky, es ahora más inteligente, escalable y segura

Doubleclickjacking: ¿Cómo funciona este nuevo ataque y de qué manera protegerse?

Alemania sospecha de un ciberataque ruso contra un grupo de investigación

Media Kit Ciberseguridadlatam

Tu anuncio en
nuestra web

Convierta a Ciberseguridad LATAM en su aliado estratégico para alcanzar a los líderes y profesionales en ciberseguridad, gobierno de datos y protección de la información de América Latina.

SABER MÁS
Logo Ciber Seguridad Latam Blanco
X-twitter Linkedin Whatsapp Facebook Instagram Youtube

© 2022 Ciberseguridad LATAM. All rights reserved.

Diseño y Programación Estudio UMO