Los actores de amenaza detrás del ransomware Medusa han reclamado casi 400 víctimas desde que surgió por primera vez en enero de 2023, con los ataques con motivación financiera que presencian un aumento del 42% entre 2023 y 2024.
Solo en los primeros dos meses de 2025, el liga ha reclamado más de 40 ataques, según datos del equipo de Symantec Amenazing Hunter compartió con The Hacker News. La compañía de seguridad cibernética está rastreando el clúster bajo el nombre de Spearwing.
“Al igual que la mayoría de los operadores de ransomware, Spearwing y sus afiliados llevan a sitio ataques de doble perturbación, robando los datos de las víctimas antiguamente de encriptar las redes para aumentar la presión sobre las víctimas para enriquecer un rescate”, señaló Symantec.
“Si las víctimas se niegan a enriquecer, el liga amenaza con difundir los datos robados en su sitio de fugas de datos”.
Mientras que otros jugadores de ransomware como servicio (RAAS) como Ransomhub (incluso conocido como Greenbottle y Cyclops), Play (incluso conocido como Balloonfly) y Qilin (incluso conocido como Dietario, Stinkbug y Water Galura) se han presbítero de las interrupciones de Lockbit y Blackcat, el Spike en las infecciones de las infecciones de que incluso se ha presbítero de la Medición de la Medición de la Medición de la Medición de la Medición de la Medición de la Medición. extorsionistas prolíficos.
El exposición se produce a medida que el panorama de ransomware continúa en un estado de flujo, con un flujo constante de nuevas operaciones RAAS, como Anubis, Cipherlocker, Core, Dange, LCryx, Loches, VGOD y Xelera, emergiendo en la naturaleza en los últimos meses.
Medusa tiene un historial de rescates exigentes entre $ 100,000 hasta $ 15 millones desde que se dirigen a proveedores de atención médica y organizaciones sin fines de utilidad, así como organizaciones financieras y gubernamentales.
Las cadenas de ataque montadas por el sindicato de ransomware implican la explotación de fallas de seguridad conocidas en aplicaciones de orientación pública, principalmente Microsoft Exchange Server, para obtener paso original. Incluso se sospecha que los actores de amenaza probablemente están utilizando corredores de paso iniciales para violar redes de interés.
Una vez que ganan un punto de apoyo exitoso, los piratas informáticos usan software de compañía y monitoreo remotos (RMM), como SimpleHelp, AnyDesk o Meshagent para un paso persistente, y emplean la técnica de Tray y Testado Traye Your Own Abandonado Driver (BYOVD) para finalizar los procesos antivirus utilizando killav. Vale la pena señalar que Killav se ha utilizado previamente en ataques de ransomware BlackCat.
“El uso del despliegue PDQ de software RMM cierto es otro sello distintivo de los ataques de ransomware Medusa”, dijo Symantec. “Por lo militar, los atacantes usan otras herramientas y archivos y se mueven lateralmente a través de la red de víctimas”.
Algunas de las otras herramientas implementadas en el curso de un ataque de ransomware Medusa incluyen Navicat para entrar y ejecutar consultas de bases de datos, robocopy y rClone para la exfiltración de datos.
“Como la mayoría de los grupos de ransomware específicos, Spearwing tiende a atacar a grandes organizaciones en una variedad de sectores”, dijo Symantec. “Los grupos de ransomware tienden a ser impulsados por las ganancias, y no por ninguna consideración ideológica o recatado”.
