Redacción ECH

Las autoridades federales de EE. UU. han emitido una alerta urgente sobre un peligroso ransomware llamado Medusa, que ha afectado a cientos de usuarios de Gmail, Outlook y otros servicios de correo electrónico populares en sectores como salud, educación, derecho, seguros, tecnología y manufactura.

Medusa: un ransomware en expansión

Según un reporte de Yahoo News, el ransomware Medusa fue identificado en junio de 2021 por la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y el FBI. Hasta la fecha, ha comprometido los datos de más de 300 víctimas a nivel mundial.

De acuerdo con las agencias, los desarrolladores de Medusa trabajan con intermediarios llamados brokers de acceso, a quienes pagan entre $100 y $1 millón para infiltrarse en los sistemas de sus víctimas. Estos atacantes emplean campañas de phishing y explotan vulnerabilidades en software desactualizado para acceder a redes y robar datos.

El informe forma parte de la iniciativa #StopRansomware, un esfuerzo conjunto para proporcionar información detallada sobre las tácticas y amenazas del ransomware.

¿Quién está detrás de Medusa?

Según un informe de Symantec, el grupo responsable del ransomware es conocido como Spearwing. Esta organización se dedica a la doble extorsión, un método en el que primero roban datos confidenciales y luego los cifran. Si la víctima se niega a pagar el rescate, los atacantes amenazan con publicar la información en su sitio de filtraciones de datos.

Desde su aparición, en 2023, Spearwing ha atacado a cientos de personas y organizaciones, con un estimado de 400 víctimas confirmadas en su sitio de filtraciones, aunque se sospecha que la cifra real es aún mayor.

Las demandas de rescate han variado entre $100,000 y $15 millones. Además de infiltrarse en redes corporativas, los ciberdelincuentes han secuestrado cuentas legítimas, incluidas las de instituciones de salud.

En algunos ataques recientes, Symantec señala que no se ha identificado con certeza cómo los atacantes obtuvieron acceso inicial, lo que sugiere que podrían estar utilizando nuevas técnicas de infección, además de las explotaciones conocidas.

¿Cómo protegerse del ransomware Medusa?

De acuerdo con Yahoo News, el FBI y la CISA han emitido una serie de recomendaciones para reducir el riesgo de infección:

• Copias de seguridad: Mantener múltiples copias de datos importantes en ubicaciones seguras y segmentadas, como discos duros externos, dispositivos de almacenamiento y la nube
• Contraseñas seguras: Implementar contraseñas largas y cambiarlas con frecuencia
• Autenticación multifactor (MFA): Especialmente en servicios de correo electrónico, VPN y sistemas críticos
• Actualización de software y sistemas operativos: Mantener todos los dispositivos y firmware al día para evitar vulnerabilidades explotables
• Segmentación de redes: Limitar la propagación de ataques dividiendo las redes en segmentos
• Herramientas de monitoreo de redes: Detectar actividades inusuales o intentos de acceso sospechosos
• Restricción de acceso remoto: Exigir VPN o Jump Hosts para conexiones externas seguras
• Filtración de tráfico desconocido: Bloquear accesos no autorizados a servicios internos
• Inhabilitación de puertos no utilizados: Reducir puntos de entrada para posibles ataques
• Encriptación de respaldos y creación de copias offline: Asegurar que los datos de respaldo sean inaccesibles para los atacantes