Investigación detecta aumento en actividades de ransomware y revela estrategia de extorsión múltiple

● Expertos de Unit 42, la unidad de investigación de Palo Alto Networks, han
identificado que el ransomware, denominado Medusa, impactó en aproximadamente
74 organizaciones a nivel mundial en 2023, afectando a sectores como la alta

tecnología, la educación y la fabricación.

● En Colombia, durante septiembre de 2023, se vivió un ataque masivo de
Ransomware, que afectó a 32 instituciones del sector público.

COLOMBIA. Febrero de 2024 – El ransomware Medusa, recientemente destacado por los
analistas de Unit 42, la unidad de investigación de Palo Alto Networks, es una amenaza
creciente en el panorama de la ciberseguridad. Este grupo malicioso, conocido como la
familia Medusa, ganó notoriedad al presentar Medusa Blog a principios de 2023, marcando
un cambio en sus tácticas de extorsión. La familia Medusa tuvo un exitoso historial con
Medusa Locker en años anteriores, pero ahora, con el ransomware Medusa, han emergido
como una amenaza prominente desde principios de 2023.
En Colombia, un ataque masivo de ransomware afectó a 32 entidades del sector público del
país se vieron seriamente comprometidas luego del hackeo que sufrió la multinacional que
ofrece servicios digitales a organizaciones públicas y privadas del país. Entidades como el
Ministerio de Salud y las ramas judiciales estuvieron totalmente bloqueadas, así como
información sensible de millones de colombianos estuvo en peligro de llegar a manos de
criminales.
Tal y como se evidenció en ese caso, este malware es altamente peligroso y puede impedir
la restauración del sistema. Una vez secuestrados los datos, el grupo Medusa exige el pago
de un rescate para liberar la información. En caso de incumplimiento, toda la información
robada se publica en un vídeo realizado por el grupo, lo que intensifica la presión sobre las
víctimas.
"Las empresas que son vulneradas y se niegan a cumplir las exigencias de estos grupos
tienen la opción de elegir entre diferentes alternativas, como la ampliación del plazo, el
borrado selectivo de datos o la descarga completa de información sensible y crítica, cada
una de ellas asociada a un precio variable", afirma Germán Rincón, Country Manager de
Palo Alto Networks en Colombia.
Además, el grupo utiliza el canal público de Telegram denominado "soporte de información"
para compartir archivos de organizaciones comprometidas, lo que las hace más accesibles
que las plataformas tradicionales de la web oscura.
En respuesta a un incidente de ransomware Medusa, los investigadores de Unit 42
identificaron las tácticas, herramientas y procedimientos empleados por el grupo. "Los
clientes de Palo Alto Networks pueden confiar en los servicios de seguridad en la nube
Cortex XDR y WildFire para mitigar las amenazas planteadas por el grupo Medusa. Estas

medidas son cruciales para defender a las organizaciones de las actividades maliciosas de
este grupo y proteger los datos sensibles de posibles secuestros",  Germán Rincón, de Palo Alto Networks
Visión general del ransomware como servicio Medusa
Medusa surgió como una plataforma de ransomware como servicio (RaaS) a finales de
2022, ganando notoriedad en 2023 al dirigirse principalmente a entornos Windows. A
diferencia de MedusaLocker, presente desde 2019, el análisis de Unit 42 se centra en el
ransomware Medusa, impactando en organizaciones que utilizan Windows.
El grupo propaga su ransomware explotando servicios vulnerables y secuestrando cuentas
legítimas, empleando intermediarios para el acceso inicial. El equipo de Unit 42 observó una
escalada en las actividades, marcada por el lanzamiento del Blog de Medusa en 2023,
intensificando las tácticas de multiextorsión.
También se observó que el ransomware Medusa implementa la técnica de living-off-the-
land, utilizando software legítimo para fines maliciosos, a menudo mezclados con el tráfico y
el comportamiento regular, lo que hace que sea más difícil identificar estas actividades.
"Basándonos en el Blog de Medusa, identificamos que el ransomware impactó a
aproximadamente 74 organizaciones a nivel mundial en 2023, afectando a sectores como la
alta tecnología, la educación y la fabricación. El análisis técnico reveló estrategias de
explotación diferenciadas, incluyendo el uso de webshells, que son programas maliciosos
que permiten a los atacantes controlar servidores web y ejecutar comandos no autorizados",
concluye el ejecutivo.
¿Cómo prevenir el ransomware en empresas?
– Cuidado con los correos fraudulentos o “phishing”: es un delito común y de
crecimiento en Colombia. Revise ortografía y gramática para identificar si los correos
provienen de remitentes legítimos.
– Preparar una bitácora de acciones para enfrentar un ataque: las organizaciones
que revisan, actualizan y ponen a prueba sus planes de respuesta a estos incidentes
tienen más probabilidades de contener un ataque activo.
– Garantizar visibilidad completa mediante tecnología de detección y respuesta
extendida: esto permite que se aislen las computadoras a medida que se detecte
una actividad maliciosa.
– Administre y reduzca proactivamente su inventario de superficie de ataque: es
recomendable que las organizaciones monitoreen continuamente el estado, la nube,
el inventario y la precisión de su superficie de ataque externa.
– Implementar arquitecturas de cero confianza en todos los sistemas: Contar con
una arquitectura de confianza-cero mitiga el riesgo de que un actor de amenaza
realice movimientos rápido e invasivos.
– Proteja de manera prioritaria sus ecosistemas en la Nube y oriente a la Junta
Directiva: es esencial un programa integral de seguridad en la nube y una
plataforma de seguridad en la organización.