El FBI advierte a los usuarios de servicios de correo electrónico populares, como Outlook y Gmail, que podrían estar sujetos a ciberataques por ransomware llamado Medusa, que ha impactado a más de 300 víctimas de varios sectores, incluidos tecnología, legal, médica y fabricación.
Medusa, un ransomware como servicio que se identificó por primera vez en junio, fue visto recientemente el mes pasado, según un aviso publicado la semana pasada por el FBI, la Agencia de Seguridad de Seguridad Cibernética e Infraestructura (CISA) y el Centro de Información y Análisis de Información y Información de Estados Múltiples (MS-ISAC).
“Tanto los desarrolladores de Medusa como los afiliados, referidos como ‘actores de Medusa’ en este aviso, emplean un modelo de doble extorsión, donde encriptan los datos de las víctimas y amenazan con divulgar públicamente los datos exfiltrados si no se paga a un rescate”, dijeron las agencias en el asesoramiento del 12 de marzo.
Los desarrolladores de Medusa normalmente reclutan corredores de acceso inicial en mercados y foros cibercriminales, pagándoles entre $ 100,000 y $ 1 millón con la oportunidad de trabajar únicamente para una organización de piratería. Se sabe que esos corredores utilizan técnicas comunes como campañas de phishing y explotando vulnerabilidades de software sin parpadear, según el asesoramiento.
“La nota de rescate exige que las víctimas se pongan en contacto dentro de las 48 horas a través de un chat en vivo basado en el navegador Tor, o a través de TOX, una plataforma de mensajería instantánea de extremo a extremo”, escribieron las agencias. “Si la víctima no responde a la nota de rescate, los actores de Medusa se comunicarán con ellos directamente por teléfono o correo electrónico”.
Una víctima fue extorsionada tres veces en un caso, según una investigación del FBI. La víctima fue contactada por otro actor de Medusa que sostuvo que el pirata informático principal robó el monto del rescate y pidió otro pago.
El FBI, CISA y MS-ISAC describieron algunos pasos que los usuarios pueden tomar para protegerse del ransomware Medusa.
Los usuarios deben proteger todas las cuentas con contraseñas, idealmente tener códigos de acceso más largos que se cambian a menudo. La autenticación multifactorial debe estar en su lugar.
Se deben desarrollar copias de datos confidenciales, en forma de discos duros, los dispositivos de nubes y almacenamiento, para su recuperación. Los usuarios también deben tener respaldos de datos fuera de línea que idealmente están encriptados. Los sistemas operativos de dispositivos deben estar actualizados.
Si los usuarios abren enlaces o archivos adjuntos de phishing, no deberían simplemente ignorar el paso, según Ryan Kalember, el director de estrategia de la firma de seguridad PruebePoint.
“Esa es a menudo la primera reacción, y no es ideal”, dijo a The Washington Post. “Cuando te enamoras de algo, el atacante todavía tiene una ventana de tiempo en la que tienen que descubrir qué acaban de conseguir y si vale la pena aprovecharlo”.
