24.7 C
São Paulo
domingo, março 23, 2025
InícioNewsAlerta CISA e FBI: Ransomware Medusa Ameaça Infraestruturas Críticas
News

Alerta CISA e FBI: Ransomware Medusa Ameaça Infraestruturas Críticas

Cíntia Ferreira
Por Cíntia Ferreira
Cibercriminosos utilizam o ransomware Medusa para atacar setores essenciais, comprometendo dados e exigindo resgates elevados.
Imagem gerada por inteligência artificial

A Agência de Segurança Cibernética e de Infraestrutura (CISA), em conjunto com o Federal Bureau of Investigation (FBI) e o Centro de Compartilhamento e Análise de Informações Multiestaduais (MS-ISAC), emitiu um alerta conjunto sobre a crescente ameaça do ransomware Medusa. Desde fevereiro de 2025, mais de 300 organizações de setores críticos, incluindo saúde, educação, jurídico, seguros, tecnologia e manufatura, foram afetadas por esse ataque cibernético. ​

Entendendo o ransomware Medusa

Identificado pela primeira vez em junho de 2021, o Medusa opera como um modelo de ransomware como serviço (RaaS). Inicialmente, suas operações eram controladas por um único grupo de cibercriminosos. No entanto, evoluiu para um modelo de afiliados, onde desenvolvedores recrutam intermediários para obter acesso inicial às redes das vítimas. Esses intermediários são atraídos por pagamentos que variam de US$ 100 a US$ 1 milhão, com a possibilidade de exclusividade nas operações. ​

O Medusa emprega uma estratégia de “dupla extorsão”: além de criptografar os dados da vítima, ameaça divulgar publicamente as informações exfiltradas caso o resgate não seja pago. Essa abordagem aumenta a pressão sobre as organizações para ceder às demandas financeiras dos atacantes. ​

Métodos de infecção e propagação

Os afiliados do Medusa utilizam técnicas comuns para comprometer as redes das vítimas:​

  • Campanhas de phishing: e-mails fraudulentos são enviados para roubar credenciais e obter acesso inicial às redes. ​
  • Exploração de vulnerabilidades não vorrigidas: falhas em softwares, como a vulnerabilidade de bypass de autenticação no ScreenConnect (CVE-2024-1709) e a falha de injeção de SQL no Fortinet EMS (CVE-2023-48788), são exploradas para infiltrar-se nos sistemas. ​

Após obter acesso, os atacantes utilizam ferramentas legítimas, como PowerShell e Windows Management Instrumentation (WMI), para evitar detecção, movimentar-se lateralmente na rede e implantar cargas de criptografia. Além disso, softwares de acesso remoto, como AnyDesk, Atera e ConnectWise, são empregados para manter o controle sobre os sistemas comprometidos. ​

Táticas de extorsão e impactos

Uma característica alarmante do Medusa é sua agressiva tática de extorsão. As vítimas são instruídas a entrar em contato dentro de 48 horas através de um chat ao vivo baseado em Tor ou plataformas de mensagens criptografadas. Caso não haja resposta, os atacantes entram em contato diretamente por telefone ou e-mail. O site na dark web do Medusa divulga dados roubados, oferecendo-os para venda antes que o cronômetro de contagem regressiva expire. Há relatos de que, mesmo após o pagamento do resgate, as vítimas podem enfrentar demandas adicionais de outros afiliados do Medusa, indicando uma possível “tripla extorsão”. ​

Um caso notório foi o ataque ao Distrito Escolar Público de Minneapolis, que resultou na exposição de aproximadamente 92 GB de dados sensíveis, afetando mais de 100.000 pessoas. Outras vítimas incluem centros de tratamento de câncer e escolas no Reino Unido.

Recomendações de segurança

Diante da ameaça crescente do ransomware Medusa, o FBI e a CISA recomendam que as organizações adotem as seguintes medidas de mitigação:​

  • Manter sistemas atualizados: garantir que sistemas operacionais, softwares e firmwares estejam atualizados e com os patches de segurança aplicados. ​
  • Segmentação de rede: implementar segmentação de rede para restringir o movimento lateral de atacantes dentro da organização. ​
  • Filtragem de tráfego de rede: impedir que origens desconhecidas ou não confiáveis acessem serviços remotos nos sistemas internos. ​
  • Educação e treinamento: promover programas de conscientização e treinamento de funcionários para reconhecer e evitar tentativas de phishing e outras técnicas de engenharia social. ​
  • Implementação de autenticação multifator (MFA): adotar MFA para adicionar uma camada extra de segurança ao acesso aos sistemas. ​
  • Monitoramento contínuo: estabelecer processos de monitoramento contínuo para detectar atividades suspeitas e responder rapidamente a incidentes. ​

O ransomware Medusa representa uma ameaça significativa às infraestruturas críticas, com ataques sofisticados que exploram vulnerabilidades humanas e tecnológicas. É imperativo que as organizações adotem uma postura proativa em relação à segurança cibernética, implementando medidas robustas de proteção, detecção e resposta a incidentes. A colaboração contínua entre entidades governamentais e o setor privado é essencial para enfrentar e mitigar os riscos associados a essas ameaças cibernéticas emergentes.

Siga o Itshow no LinkedIn e assine a nossa News para ficar por dentro de todas as notícias do setor de TI e Telecom!

Artigo anterior
Ameaça crescente: setor de hoteleiro no alvo dos hackers
Próximo artigo
Governo Federal emite alerta sobre falha de segurança em produtos VMware
Cíntia Ferreira
Cíntia Ferreirahttps://itshow.com.br/
Postagens recomendadas
Outras postagens
Carregar mais

Itshow

O seu portal de noticias sobre ti e telecom.

Redes sociais

Transformação digital
Liderança de ti
Cloud
Infraestrutura de TI
Cibersegurança
Podcast
Quem somos
Fale conosco
Política de privacidade
Termos de uso

© Itshow

A company part of BIZ GROUP