Las autoridades federales están advirtiendo a los usuarios de Gmail, Outlook y otros servicios de correo electrónico populares sobre un peligroso ransomware vinculado a un grupo de desarrolladores que han violado los datos de cientos de víctimas, incluyendo personas de los sectores médico, educativo, legal, de seguros, tecnología y manufactura. La variante del ransomware se llama "Medusa", fue identificada por primera vez en junio de 2021, y la Agencia de Ciberseguridad e Infraestructura (CISA) y el FBI lo anunciaron el 12 de marzo.
"Este aviso conjunto de Ciberseguridad forma parte de un esfuerzo continuo #StopRansomware para publicar recomendaciones para defensores de redes, detallando diversas variantes de ransomware y actores de amenazas", dijeron las agencias. "Estos avisos #StopRansomware incluyen tácticas, técnicas y procedimientos (TTPs) observados recientemente y de manera histórica, así como indicadores de compromiso (IOCs) para ayudar a las organizaciones a protegerse contra el ransomware."
Hasta febrero de 2025, los ciberataques han afectado a más de 300 víctimas, según las agencias. Los desarrolladores de Medusa suelen reclutar a intermediarios de acceso y pagarles entre $100 y $1 millón para trabajar con ellos. Estos afiliados usan técnicas comunes para violar los datos de las víctimas potenciales, como campañas de phishing y explotación de vulnerabilidades de software sin parchear, dijeron el FBI y la CISA.
Aquí está lo que se debe saber sobre el ransomware, incluyendo quién está presuntamente detrás de los ataques y cómo las personas pueden proteger sus datos.
Symantec: Grupo que opera el ransomware identificado como Spearwing
Una publicación de blog del 6 de marzo de Symantec, una marca de software de seguridad empresarial, dice que un grupo llamado Spearwing está operando el ransomware.
"Como la mayoría de los operadores de ransomware, Spearwing y sus afiliados llevan a cabo ataques de doble extorsión, robando los datos de las víctimas antes de cifrar las redes para aumentar la presión sobre las víctimas para que paguen un rescate", dice la publicación en el blog de Symantec. "Si las víctimas se niegan a pagar, el grupo amenaza con publicar los datos robados en su sitio de filtraciones de datos."
Según Symantec, Spearwing ha victimizado a cientos de personas desde que el grupo comenzó a operar a principios de 2023. El grupo tiene alrededor de 400 víctimas en su sitio de filtraciones de datos, y el número real probablemente sea mucho mayor, según la publicación.
Los rescates exigidos por Spearwing utilizando el ransomware Medusa han variado desde $100,000 hasta $15 millones, según Symantec. Además de obtener acceso a las redes de las víctimas, el grupo también está secuestrando cuentas legítimas, incluidas las de organizaciones de atención médica, dice la publicación.
"En varios de los ataques de Medusa observados por Symantec no fue posible determinar de manera definitiva cómo los atacantes obtuvieron el acceso inicial a las redes de las víctimas, lo que significa que se podría haber utilizado un vector de infección diferente a los exploits", según la publicación.
¿Cómo pueden las personas protegerse del ransomware Medusa?
Para mitigar el ransomware Medusa, el FBI y la CISA recomiendan que las personas:
- Desarrollen un plan de recuperación para mantener y conservar múltiples copias de datos sensibles o propietarios y servidores en una ubicación física separada, segmentada y segura. Por ejemplo, discos duros, dispositivos de almacenamiento y la nube.
- Exijan que todas las cuentas tengan inicios de sesión con contraseñas. Los empleados de las empresas deben usar contraseñas largas que deben cambiarse con frecuencia.
- Exijan autenticación multifactor para todos los servicios, especialmente para el correo web, redes privadas virtuales y cuentas que acceden a sistemas críticos.
- Asegúrense de que todos los sistemas operativos, software y firmware estén actualizados.
- Segmenten las redes para evitar la propagación del ransomware.
- Identifiquen, detecten e investiguen actividades extrañas y la posible propagación del ransomware indicado con una herramienta de monitoreo de redes.
- Exijan VPNs o Jump Hosts para acceso remoto.
- Monitoreen intentos no autorizados de escaneo y acceso.
- Filtren el tráfico de red para evitar que orígenes desconocidos o no confiables accedan a servicios remotos en sistemas internos.
- Desactiven puertos no utilizados.
- Mantengan copias de seguridad de los datos desconectadas y realicen regularmente el mantenimiento de la copia de seguridad y la restauración.
- Asegúrense de que todos los datos de las copias de seguridad estén cifrados e inflexibles.
Vía | FBI, CISA warns Gmail, Outlook users about Medusa ransomware
https://tecnologiaconjuancho.com/medusa-ransomware-300-victimas-y-rescates-de-hasta-15-millones/
No hay comentarios.:
Publicar un comentario