Medusa pone en jaque a la infraestructura crítica: el grupo de ransomware amplía sus ataques a organizaciones clave

Imagen: Zdzisław Beksiński

Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad (CSCT™), (ISC)² Certified in Cybersecurity℠ (CC), EC-Council Ethical Hacking Essentials (EHE) Certified, EC-Council Certified Cybersecurity Technician (CCT), Ethical Hacking Certified Associate (EHCA), Cisco Ethical Hacker & Cisco Cybersecurity Analyst y líder del Capítulo Querétaro de la Fundación OWASP.

Una reciente alerta emitida por el FBI, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y el Centro Multiestatal de Intercambio y Análisis de Información (MS-ISAC) advierte sobre la actividad del grupo cibercriminal Medusa y sus afiliados, quienes han dirigido ataques contra organizaciones de los sectores médico, educativo, legal, asegurador, tecnológico y manufacturero.

Medusa, identificado como un grupo de ransomware como servicio (RaaS), emergió en junio de 2021 y ha mantenido su impacto mediante tácticas relativamente simples, como el phishing y la explotación de vulnerabilidades no corregidas.

Los investigadores han detectado que sus afiliados aprovechan vulnerabilidades específicas, entre ellas la CVE-2024–1709, que afecta a la herramienta de acceso remoto ScreenConnect, y la CVE-2023–48788, presente en productos de la empresa de ciberseguridad Fortinet.

Originalmente, Medusa operaba como un grupo cerrado controlado por sus desarrolladores, quienes también dirigían los ataques. Posteriormente, evolucionaron hacia un modelo de afiliados, donde los desarrolladores continúan manejando las negociaciones de rescate, pero colaboran con intermediarios especializados en obtener acceso inicial a las redes víctimas. Estos intermediarios son reclutados en foros clandestinos y mercados de cibercriminales, ofreciendo recompensas que van desde los 100 hasta el millón de dólares, con la posibilidad de obtener exclusividad para colaborar con Medusa.

El grupo exige a sus víctimas que los contacten en un plazo máximo de 48 horas tras recibir la nota de rescate. En caso de no obtener respuesta, los atacantes recurren a llamadas telefónicas o correos electrónicos para presionar a la organización afectada. Además, disponen de un sitio web donde publican los datos robados y los ponen a la venta.

Una investigación del FBI reveló una táctica aún más insidiosa: tras recibir el pago del rescate, una víctima fue abordada por otro miembro de Medusa, quien alegó que el intermediario inicial había desviado el dinero. Este nuevo actor exigió la mitad del monto original para proporcionar el “descifrador real”, sugiriendo la existencia de un esquema de triple extorsión.

Medusa ganó notoriedad global en 2023 tras múltiples ataques a organizaciones de distintos países. Su capacidad quedó aún más evidenciada en febrero de 2024, cuando lograron vulnerar a Grupo Bimbo, una de las compañías más grandes a nivel mundial en la industria de alimentos, destacando la sofisticación y persistencia de esta peligrosa banda cibercriminal.

Dado que se ha informado que el grupo cibercriminal Medusa está ampliando sus ataques hacia organismos de infraestructura crítica, utilizando tácticas relativamente básicas como el phishing y la explotación de vulnerabilidades sin parchear, es fundamental que instituciones en México — como la Comisión Nacional del Agua y la Comisión Nacional de Seguridad Nuclear y Salvaguardias, donde recientemente se detectaron vulnerabilidades relacionadas con la falta de actualizaciones de seguridad — refuercen sus medidas de protección.

Las instituciones que conforman la infraestructura crítica gubernamental son aquellas encargadas de operar y mantener los servicios esenciales para el funcionamiento de un país. Su interrupción o daño podría generar consecuencias severas para la seguridad nacional, la economía, la salud pública o el bienestar de la población. Entre estos sectores estratégicos se incluyen la energía, telecomunicaciones, agua, transporte, defensa, salud y seguridad pública, entre otros.

Por su relevancia para la estabilidad y continuidad del gobierno y la sociedad, estas infraestructuras están sujetas a marcos regulatorios y políticas especiales de protección. Sin embargo, las amenazas en evolución — como las que plantea Medusa — exigen una revisión continua de la seguridad cibernética y la aplicación inmediata de parches críticos para prevenir posibles ataques.

Para más información, visite: https://www.silikn.com/