Varias agencias de aplicación de la ley de EE. UU. han lanzado una alerta de seguridad conjunta hacia MedusaLocker, una pandilla de ransomware que se ocupó en la pandemia de COVID-19 al atacar a las organizaciones de atención médica y que actualmente está aprovechando vulnerabilidades sin parchar en servidores RDP.

MedusaLocker surgió en 2019 y ha sido un problema desde entonces, aumentando la actividad durante las primeras etapas de la pandemia para maximizar las ganancias.

Si bien Medusa hoy en día es menos prolífico que otras redes como Conti y Lockbit RaaS, causó una buena cantidad de problemas, siendo una de varias amenazas que llevaron a Microsoft a advertir a los operadores de atención médica de aplicar parches de seguridad a los puntos finales de VPN y configurar el Protocolo de escritorio remoto (RDP) de forma segura.

En el primer trimestre de 2020, MedusaLocker fue una de las principales cargas útiles de ransomware junto con RobbinHood, Maze, PonyFinal, Valet loader, REvil, RagnarLocker y LockBit, según Microsoft.

A partir de mayo de 2022, se ha observado que Medusa explota predominantemente configuraciones RDP vulnerables para acceder a las redes de las víctimas, según un nuevo Aviso de Ciberseguridad (CSA) conjunto del FBI, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), el Departamento del Tesoro y la Red de Control de Delitos Financieros (FinCEN).

El aviso es parte de la colección de recursos sobre ransomware #StopRansomware de CISA.

«MedusaLocker parece funcionar como un modelo de Ransomware-as-a-Service (RaaS) basado en la división observada de los pagos de rescate», señala la CSA.

Los modelos RaaS implican los esfuerzos combinados del desarrollador de ransomware y varios afiliados, como los agentes de acceso que obtienen acceso inicial y otros actores que implementan el ransomware en los sistemas de las víctimas.

Fuente: ZDnet.