Los actores de amenazas detrás del ransomware Medusa han cobrado casi 400 víctimas desde que apareció por primera vez en enero de 2023, y los ataques con motivaciones económicas experimentaron un aumento del 42% entre 2023 y 2024.
Solo en los dos primeros meses de 2025, el grupo ha reivindicado más de 40 ataques, según datos del equipo de cazadores de amenazas de Symantec, que se han compartido con The Hacker News. La empresa de ciberseguridad está rastreando el clúster bajo el nombre de Spearwing.
«Al igual que la mayoría de los operadores de ransomware, Spearwing y sus afiliados llevan a cabo ataques de doble extorsión, robando los datos de las víctimas antes de cifrar las redes para aumentar la presión sobre las víctimas para que paguen un rescate», señaló Symantec.
«Si las víctimas se niegan a pagar, el grupo amenaza con publicar los datos robados en su sitio de filtraciones de datos».
Si bien otros actores de ransomware como servicio (RaaS) como RansomHub (también conocido como Greenbottle y Cyclops), Play (también conocido como Balloonfly) y Qilin (también conocido como Agenda, Stinkbug y Water Galura) se han beneficiado de las interrupciones de LockBit y BlackCat, el aumento en las infecciones de Medusa plantea la posibilidad de que el actor de amenazas también pueda estar apresurándose a llenar el vacío dejado por los dos prolíficos extorsionadores.
El desarrollo se produce mientras el panorama del ransomware continúa en un estado de cambio , con un flujo constante de nuevas operaciones RaaS, como Anubis , CipherLocker , Core , Dange , LCRYX , Loches , Vgod y Xelera , que surgen en los últimos meses.
Medusa tiene antecedentes de exigir rescates que van desde $100,000 hasta $15 millones a proveedores de atención médica y organizaciones sin fines de lucro, además de atacar a organizaciones financieras y gubernamentales.
Las cadenas de ataques organizadas por el grupo de ransomware implican la explotación de fallos de seguridad conocidos en aplicaciones públicas, principalmente Microsoft Exchange Server, para obtener acceso inicial. También se sospecha que los actores de la amenaza probablemente estén utilizando intermediarios de acceso inicial para vulnerar redes de interés.
Una vez que logran establecerse, los piratas informáticos dejan de usar software de administración y monitoreo remoto (RMM) como SimpleHelp, AnyDesk o MeshAgent para el acceso persistente y emplean la técnica probada Bring Your Own Vulnerable Driver (BYOVD) para terminar los procesos antivirus usando KillAV . Vale la pena señalar que KillAV se ha utilizado anteriormente en ataques de ransomware BlackCat.
«El uso del software RMM legítimo PDQ Deploy es otro sello distintivo de los ataques del ransomware Medusa», afirmó Symantec. «Los atacantes lo utilizan normalmente para colocar otras herramientas y archivos y moverse lateralmente por la red de la víctima».
Algunas de las otras herramientas implementadas durante un ataque de ransomware Medusa incluyen Navicat para acceder y ejecutar consultas de bases de datos, RoboCopy y Rclone para la exfiltración de datos.
«Como la mayoría de los grupos de ransomware, Spearwing tiende a atacar a grandes organizaciones de diversos sectores», afirmó Symantec. «Los grupos de ransomware suelen estar motivados únicamente por el lucro, y no por consideraciones ideológicas o morales».
Fuente y redacción: thehackernews.com
