Ransomware Medusa (Actualización)
El grupo de ransomware Medusa ha estado activo desde 2021 hasta el presente. Durante este tiempo, se ha consolidado como uno de los ransomwares más peligrosos debido a sus numerosos ataques. En todo su tiempo operativo, ha llevado a cabo 426 ataques, colocándose en el puesto 11 entre las familias de ransomware con más ataques, principalmente cobrando víctimas en Estados Unidos.
Con el pasar de los años, este ransomware ha ido evolucionando, mejorando sus herramientas, tácticas y métodos de infección. Al principio, Medusa comenzó como una variante de ransomware cerrada, pero con el tiempo se convirtió en un modelo de Ransomware como Servicio (RaaS). A los afiliados del programa se les llama “Medusa actors” y tienen cierto grado de independencia, aunque las comunicaciones con las víctimas son controladas por los desarrolladores originales.
Entre las herramientas utilizadas por este grupo se encuentran:
• Software de administración y monitorización remota: herramientas como AnyDesk o SimpleHelp, utilizadas para descargar controladores, archivos o malware.
• Herramientas de exfiltración: como Navicat y RoboCopy, empleadas para extraer información de la víctima.
• Técnicas como “Bring Your Own Vulnerable Device” (BYOVD): esta técnica consiste en que los atacantes instalan un controlador en la máquina objetivo para luego explotarlo, desactivar la seguridad y evitar la detección.
Como la mayoría de los ransomwares, este grupo opera con tácticas de doble extorsión. Esto se logra exfiltrando todos los datos del equipo de una víctima y, una vez completado este proceso, cifrando los datos. Finalmente, se deja una nota de rescate, la cual es la siguiente:
El grupo amenaza a la víctima para que pague el rescate o, de lo contrario, publicará sus datos en su página de filtraciones. Esta página de filtraciones es la siguiente:
Ejemplo de una victima publicada en su blog [4]
Los principales métodos de propagación de medusa son por medio de ingeniería social como lo son los ataques de phishing, campañas, suplantación de páginas entre otras cosas. Aun así, este grupo explota vulnerabilidades para ganar acceso inicial a las redes corporativas como lo son:
- CVE-2022-2294: Vulnerabilidad de desbordamiento de búfer de pila en WebRTC.
- CVE-2022-2295: Vulnerabilidad de confusión de tipos en Google Chrome V8.
- CVE-2022-21999: Vulnerabilidad de elevación de privilegios de Windows Print Spooler.
- CVE-2018-13379: Vulnerabilidad de cruce de rutas de FortiOS.
Taxnomiía MITRE ATT&CK:
|
Fase |
ID |
Técnica |
|
Initial Access |
T1190 |
Exploit Public-Facing Application |
|
TA0001 |
Initial Access |
|
|
T1566 |
Phishing |
|
|
Defense Evasion |
T1070.003 |
Indicator Removal: Clear Command History |
|
T1027.013 |
Obfuscated Files or Information: Encrypted/Encoded File |
|
|
T1027 |
Obfuscated Files or Information |
|
|
T1070 |
Indicator Removal |
|
|
T1562.001 |
Impair Defenses: Disable or Modify Tools |
|
|
Discovery |
T1046 |
Network Service Discovery |
|
T1083 |
File and Directory Discovery |
|
|
T1135 |
Network Share Discovery |
|
|
T1016 |
System Network Configuration Discovery |
|
|
T1082 |
System Information Discovery |
|
|
T1069.002 |
Permission Groups Discovery: Domain Groups |
|
|
Credential Access |
TA0006 |
Credential Access |
|
T1003.001 |
OS Credential Dumping: LSASS Memory |
|
|
Lateral Movement and Execution |
TA0008 |
Lateral Movement |
|
T1059.001 |
Command and Scripting Interpreter: PowerShell |
|
|
T1059.003 |
Command and Scripting Interpreter: Windows Command Shell |
|
|
T1072 |
Software Deployment Tools |
|
|
T1021.001 |
Remote Services: Remote Desktop Protocol |
|
|
T1569.002 |
System Services |
|
|
T1047 |
Windows Management Instrumentation |
|
|
Exfiltration and Encryption |
TA0010 |
Exfiltration |
|
T1567.002 |
Exfiltration Over Web Service: Exfiltration to Cloud Storage |
|
|
Command and Control |
T1105 |
Ingress Tool Transfer |
|
T1071.001 |
Application Layer Protocol: Web Protocols |
|
|
T1219 |
Remote Access Software |
|
|
Persistence |
T1136.002 |
Create Account |
|
Impact |
T1486 |
Data Encrypted for Impact |
|
T1490 |
Inhibit System Recovery |
|
|
T1657 |
Financial Theft |
|
|
T1529 |
System Shutdown/Reboot |
|
|
T1489 |
Service Stop |
Indicadores de Compromiso:
|
Tipo |
Indicador de compromiso |
|
domain |
2icgw.ru |
|
domain |
medusacegu2ufmc3kx2kkqicrlcxdettsjcenhjena6uannk5f4ffuyd.onion |
|
domain |
medusaxko7jxtrojdkxo66j7ck4q5tgktf7uqsqyfry4ebnxlcbkccyd.onion |
|
domain |
medusaxko7jxtrojdkxo66j7ck4q5tgktf7uqsqyfry4ebnxlcbkccyd.onion |
|
domain |
qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion |
|
FileHash-MD5 |
00A0A0A0A59C0F6579999B8B1523 |
|
FileHash-MD5 |
08278e867322735de9e75f59b539426e |
|
FileHash-MD5 |
120e36c2428a4bfe9f37b977f698fa39 |
|
FileHash-MD5 |
1641e6536804d010fd0887525f8518c4 |
|
FileHash-MD5 |
217b5b689dca5aa0026401bffc8d3079 |
|
FileHash-MD5 |
3030943c7e5f2c7b710c416f7d979c25 |
|
FileHash-MD5 |
30e71d452761fbe75d9c8648b61249c3 |
|
FileHash-MD5 |
312e41aa5901f6e00811de343627d418 |
|
FileHash-MD5 |
38b1cdb61aff9b5096cc971cbb3159e0 |
|
FileHash-MD5 |
412568f078ec521bdba6ae14b9f36823 |
|
FileHash-MD5 |
4293f5b9957dc9e61247e6e1149e4c0f |
|
FileHash-MD5 |
4536297338323c00783fdceabf8d36bf |
|
FileHash-MD5 |
47386ee20a6a94830ee4fa38b419a6f7 |
|
FileHash-MD5 |
47d222dd2ac5741433451c8acaac75bd |
|
FileHash-MD5 |
4984d9af56c39a161b627e019ed2604d |
|
FileHash-MD5 |
5b9ee071922cd3a060a4979a403e0f |
|
FileHash-MD5 |
6701070c21d3c6487c3e6291f2f0f1c9 |
|
FileHash-MD5 |
7405efcdd3e931cde430317df1c00131 |
|
FileHash-MD5 |
7b9dbd1a611dc4d378607e5f50b23654 |
|
FileHash-MD5 |
7ecc2ed7db7bbb6dc794f29feb477c8c |
|
FileHash-MD5 |
82143033173cbeee7f559002fb8ab8c5 |
|
FileHash-MD5 |
84b88ac81e4872ff3bf15c72f431d101 |
|
FileHash-MD5 |
858ffbe870a7454c4a59f889d8d49169 |
|
FileHash-MD5 |
8cd11f34d817a99e4972641caf07951e |
|
FileHash-MD5 |
9353a3fa46ce13ea133cfab51c8cbd7a |
|
FileHash-MD5 |
99a1f6e096dc79b1bc1adbefaa0cd9c5 |
|
FileHash-MD5 |
a57f84e3848ab36fd59c94d32284a41e |
|
FileHash-MD5 |
acb0fde71fa3d57261e8eac9c3da88ab |
|
FileHash-MD5 |
ad182ac22ee9e8075a324fcee2038108 |
|
FileHash-MD5 |
d02e837ecc8d57f66d6911b7286c9e71 |
|
FileHash-MD5 |
d82b27fdcc3a63f2ab0c46c5a3caef0a |
|
FileHash-MD5 |
d8550fb34f73ccc47b02c51b138b11dd |
|
FileHash-MD5 |
e4b7fdabef67a0550877e6439beb093d |
|
FileHash-SHA1 |
042ce9ab1afe035e0924753f076fcb20de0d1a1d |
|
FileHash-SHA1 |
0823d067541de16325e5454a91b57262365a0705 |
|
FileHash-SHA1 |
4d5992de4601c4306885c71b0ba197184bb69221 |
|
FileHash-SHA1 |
db5e29c0729486ba3833426093652451c5fca9b5 |
|
FileHash-SHA1 |
ee4575cf9818636781677d63236d3dc65652deab |
|
FileHash-SHA256 |
01b91c60866b22b22d82284cbaac35565818eba353ac834018971d180a790a77 |
|
FileHash-SHA256 |
038fb5e0ba6c35e3ee2f56b5bd926109e8b321bd0c9e3b759489312518efea65 |
|
FileHash-SHA256 |
08f05c597ac7c8e35515a63a9e139ef75b44d92093ed8c5b1b3c064f9c7f6cb8 |
|
FileHash-SHA256 |
0b3b9076591240a9639929a1a5a78922b5db0af3dba2e782d595ecc139ffb7e1 |
|
FileHash-SHA256 |
16c7497fc7b31936c1ecb845d2e61ef30935c1bba3074ac66a7329d7d134cbb1 |
|
FileHash-SHA256 |
16f83f056177c4ec24c7e99d01ca9d9d6713bd0497eeedb777a3ffefa99c97f0 |
|
FileHash-SHA256 |
1b7add5adbb9ba5b85437c11825e47663bd59729442f6f44fb2576b25945f0eb |
|
FileHash-SHA256 |
276024580b5bc903656a1c12a7ec02daccb10e6e6bdf6872765c9a67f1cd6da5 |
|
FileHash-SHA256 |
3770c122f3f289cea730a5d1d16978e7f354686d3d2d4f667cfd9e37d5e9d368 |
|
FileHash-SHA256 |
3a7f64223a51e35a8253804c42d0ba92b663e06da8c21d398a65074b8e50beec |
|
FileHash-SHA256 |
3be651fe6619e62e483ff8d46e49c3578e7ce9d60b6d2b31d8d3e32beeeaabec |
|
FileHash-SHA256 |
53e5c44c1f47895004d61d18cbc74e83d7118dfcb2eb073c1e9c6a37abf38bd9 |
|
FileHash-SHA256 |
55e4ce3fe726043070ecd7de5a74b2459ea8bed19ef2a36ce7884b2ab0863047 |
|
FileHash-SHA256 |
583940ab94608408294e344af4503c8caed96966a08165c58cdc4faa03ab52a9 |
|
FileHash-SHA256 |
5f9d864d11c79b34c4502edba7d0e007197d0df086a6fb9d6bfda84a1771ff0f |
|
FileHash-SHA256 |
6106d1ce671b92d522144fcd3bc01276a975fe5d5b0fde09ca1cca16d09b7143 |
|
FileHash-SHA256 |
622b9c7a39c3f0bf4712506dc53330cdde37e842b97f1d12c97101cfe54bebd4 |
|
FileHash-SHA256 |
77a96b9bcc2bdcbc5c5cd39d606b8b14112e04390c04e4c9a7570a8bbca32ed2 |
|
FileHash-SHA256 |
7880968b0020947d5d13fac826e49c70b5a9421e3d6546a34663803a411b97ff |
|
FileHash-SHA256 |
7c340e4d69ac5221bbebcad320814929c1bc376c4d9a64e5daf70c191137fd4a |
|
FileHash-SHA256 |
7f2f3e90863de8f753169fdc107df72c0ba95826de848a2d5f753f9f58a35fb4 |
|
FileHash-SHA256 |
8dff18f10c857dd3eeb5511f5724da0ab1d9e411044aea27f6de23ee33f798c8 |
|
FileHash-SHA256 |
9632d7e4a87ec12fdd05ed3532f7564526016b78972b2cd49a610354d672523c |
|
FileHash-SHA256 |
9d5616672189557f171cae0f122853f3498bc9160ee92f3844404d46ec45210a |
|
FileHash-SHA256 |
ad3ec38f79b4964fc9ba0d8f2d9d28c7cd3bd20dee0e3acf427eebb5dc819275 |
|
FileHash-SHA256 |
ae312393ef8e7c4a813a0ed8d4dd9e6a85b00303eb070eb15133797f41e99d90 |
|
FileHash-SHA256 |
b1553dfee1da93fd2dedb0755230ce4e21d4cb78cfc369de29d29d04db1fe013 |
|
FileHash-SHA256 |
b7703a59c39a0d2f7ef6422945aaeaaf061431af0533557246397551b8eed505 |
|
FileHash-SHA256 |
bf3b4762b518c4682cb06fe5848e7cf3cc515fca1c367f82c8d69a847ac1a0a1 |
|
FileHash-SHA256 |
c28fa95a5d151d9e1d7642915ec5a727a2438477cae0f26f0557b468800111f9 |
|
FileHash-SHA256 |
c6ac5a83942a8aa3954650dfaa343a4bc4d3cff81c771ec0bb60bf1d2208c4e1 |
|
FileHash-SHA256 |
c9e05b08731892295a0842f7d17be0747c16226fcb75fa4a23b43b61a833c8cf |
|
FileHash-SHA256 |
d1e1eb0e0aaedb01df8cc2b98b0119c4aef8c1c2a3930ea0c455f0491e3161eb |
|
FileHash-SHA256 |
d5a1f90dc5c9717b3f900c91a6cdccc20e56e6f1d20f24170189260e8dde7608 |
|
FileHash-SHA256 |
dbe480495be5abc23437b5e916fa0368c617e4dbd58d9ed7ea303b102a6dc3b1 |
|
FileHash-SHA256 |
dd0e796f52fc1fcad488df122db8f5fcc9423ffdd3b5edbcc66d6055ab8a2247 |
|
FileHash-SHA256 |
df6cb5199c272c491b3a7ac44df6c4c279d23f7c09daed758c831b26732a4851 |
|
FileHash-SHA256 |
dfdb6d5ef505a0d4cabbcd97e142106ecab9604d0086d77c9431e2fb09088eb6 |
|
FileHash-SHA256 |
e0b562b70b9fed98a05680a613f786bd482f71456976c7290ca2059004cb64a5 |
|
FileHash-SHA256 |
e7cad51c71403c229364147d66ef1858065b10645d1d09774cd9a91dd8e54717 |
|
FileHash-SHA256 |
f365ca957e733714691f4ac19f136b33442269816e71cab84c3ce0b319084cc2 |
|
FileHash-SHA256 |
f5acae25462bee1c2120fa53c33126792d0747cb93105b475f1dc15ae95d86f8 |
|
hostname |
vfaz006cowflq5984wmx.2icgw.ru |
|
IPv4 |
104.210.72.161 |
|
IPv4 |
108.11.30.103 |
|
IPv4 |
138.124.186.221 |
|
IPv4 |
159.223.0.9 |
|
IPv4 |
179.60.150.97 |
|
IPv4 |
185.220.100.249 |
|
IPv4 |
185.220.101.146 |
|
IPv4 |
185.220.101.252 |
|
IPv4 |
185.220.101.35 |
|
IPv4 |
188.68.216.23 |
|
IPv4 |
194.5.220.122 |
|
IPv4 |
194.5.220.124 |
|
IPv4 |
194.61.55.94 |
|
IPv4 |
195.123.246.138 |
|
IPv4 |
196.240.57.20 |
|
IPv4 |
198.0.198.5 |
|
IPv4 |
198.50.233.202 |
|
IPv4 |
40.92.90.105 |
|
IPv4 |
45.146.164.141 |
|
IPv4 |
50.80.219.149 |
|
IPv4 |
84.38.189.52 |
|
IPv4 |
87.251.75.71 |
|
IPv4 |
94.232.43.63 |
|
URL |
http://medusacegu2ufmc3kx2kkqicrlcxdettsjcenhjena6uannk5f4ffuyd.onion |
|
URL |
http://vfaz006cowflq5984wmx.2icgw.ru |
|
URL |
https://vfaz006cowflq5984wmx.2icgw.ru |
|
URL |
https://vfaz006cowflq5984wmx.2icgw.ru/g9X2j47 |
Recomendaciones
-
Actualizar el producto con el que se cuente a la versión parchada de la sección de versiones afectadas o en su defecto descargar el parcche de seguridad KB5053887 en: https://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB5053887
-
Para la CVE-2025-24057 visitar el sitio https://aka.ms/OfficeSecurityReleases
-
Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
-
Auditar herramientas de acceso remoto. (NIST CSF, 2024)
-
Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
-
Limitar estrictamente el uso de los protocolos SMB y RDP.
-
Realizar auditorías de seguridad. (NIST CSF, 2024)
-
Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
-
Tener filtros de correo electrónico y spam.
-
Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
-
Realizar copias de seguridad, respaldos o back-ups constantemente.
-
Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
-
Revisar continuamente los privilegios de los usuarios.
-
Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
-
Habilitar la autenticación multifactor.
Referencias
- Cardenas, R. (2025. Marzo 16) El FBI advierte sobre el peligroso ransomware ‘Medusa’: qué es y cómo protegerse para no ser una víctima. Recuperado el 28 de marzo del 2025 en: https://elcomercio.pe/mag/usa/local-us/fbi-y-medusa-advierten-sobre-el-peligroso-ransomware-y-como-protegerse-para-no-ser-una-victima-nnda-nnse-noticia/?ref=ecr
- CISA. (2025. Marzo 12) #StopRansomware: Medusa Ransomware. Recuperado el 28 de marzo del 2025 en: https://www.cisa.gov/news-events/cybersecurity-advisories/aa25-071a
- CIBERSEGURIDAD LATAM. (2025. Marzo 19) El ransomware Medusa se cobró más de 40 víctimas en 2025, con ataques confirmados al sector sanitario estadounidense. Recuperado el 28 de marzo del 2025 en: https://ciberseguridadlatam.com/el-ransomware-medusa-se-cobro-mas-de-40-victimas-en-2025-con-ataques-confirmados-al-sector-sanitario-estadounidense/
- RANSOMLOOK.IO. (S.F.) Medusa. Recuperado el 28 de marzo del 2025 en: https://www.ransomlook.io/group/medusa
