O FBI e a Agência de Cibersegurança e Segurança de Infraestrutura dos EUA (CISA) emitiram um alerta conjunto sobre a crescente ameaça do ransomware Medusa, um ataque sofisticado que sequestra e criptografa dados de empresas e instituições. O grupo por trás desse ransomware usa um modelo de “Ransomware como Serviço” (RaaS), permitindo que afiliados realizem ataques em troca de uma porcentagem dos lucros.
O que é o ransomware Medusa?
O Medusa surgiu no final de 2022 e ganhou notoriedade em 2023, atingindo setores como tecnologia, educação, manufatura e saúde. Diferente do Medusa Locker, outro ransomware de nome semelhante, essa nova variante se destaca pelo seu modelo de extorsão múltipla, oferecendo às vítimas opções como:
- Pagamento para deletar dados roubados
- Extensão do prazo antes da divulgação dos dados
- Download dos dados sequestrados
Caso a vítima não pague, as informações são publicadas em um site na dark web criado em fevereiro de 2023, ampliando a pressão sobre as organizações afetadas 【The Hacker News】.
Como o Medusa ataca?
Os ataques do Medusa começam geralmente com phishing ou exploração de vulnerabilidades conhecidas em sistemas não atualizados. O grupo utiliza uma técnica chamada “Living-Off-The-Land” (LotL), que explora ferramentas legítimas do sistema operacional para evitar detecção. Além disso, o ransomware usa dois drivers de kernel para desativar soluções de segurança antes de criptografar arquivos【The Hacker News】.
Entre os métodos observados para invasão, destacam-se:
- Exploração de servidores vulneráveis, como o Microsoft Exchange, para instalar um backdoor
- Uso de credenciais roubadas adquiridas em fóruns de cibercrime
- Ataques de força bruta contra acessos remotos expostos na internet
Após obter acesso, os criminosos analisam a rede e criptografam arquivos, adicionando a extensão .medusa. Os responsáveis pelo ataque então exibem no site de vazamentos detalhes como o valor do resgate e um cronômetro com o tempo restante antes da divulgação dos dados【The Hacker News】.
Ameaça crescente e novas táticas
O FBI revelou que, até fevereiro de 2025, o Medusa já fez mais de 300 vítimas em diversos setores. Recentemente, criminosos passaram a usar táticas ainda mais agressivas, como ameaças físicas e campanhas de relações públicas para amplificar a pressão sobre as vítimas【The Hacker News】.
Outra novidade é o uso de um canal público no Telegram, chamado “information support”, onde os hackers compartilham dados roubados, aumentando a exposição e os danos às vítimas【The Hacker News】.
Como se proteger?
Para minimizar o risco de ataques pelo Medusa e outros ransomwares, o FBI e especialistas recomendam as seguintes práticas:
- Ativar a autenticação em dois fatores (2FA) para impedir acessos indevidos
- Manter sistemas e softwares atualizados, evitando vulnerabilidades conhecidas
- Bloquear acessos remotos não essenciais, como Remote Desktop Protocol (RDP)
- Realizar backups frequentes, armazenando cópias em locais offline
- Treinar funcionários para identificar tentativas de phishing
Empresas também devem investir em soluções de detecção de ameaças, como monitoramento de atividades suspeitas e ferramentas anti-ransomware avançadas.
Com a evolução constante das táticas do Medusa, a proteção eficaz exige vigilância contínua e boas práticas de segurança digital.