El FBI emite consejos de mitigación a medida que continúan los ataques de ransomware de Medusa.
ACTUALIZACIÓN, 16 de marzo de 2025: Esta historia, publicada originalmente el 13 de marzo, se ha actualizado con otra advertencia de seguridad cibernética del FBI, así como más comentarios de expertos de los profesionales de seguridad cibernética después de la alerta con respecto a los ataques de ransomware Medusa en curso y los consejos de mitigación urgente emitidos como resultado.
La Oficina Federal de Investigación ha advertido recientemente sobre las extrañas amenazas de ataque de ransomware entregadas por el Servicio Postal de los Estados Unidos, sí, en realidad, junto con una peligrosa campaña Ransowmare de los llamados atacantes fantasmas, y algunas de las amenazas más sofisticadas contra los usuarios de Gmail. Después de haber aconsejado previamente a los usuarios que usen la autenticación de dos factores para mitigar tales ataques, una alerta de la industria del FBI recientemente publicada ha lanzado el consejo de mitigación en uno a medida que continúa los ataques continuos de la pandilla de ransomware Medusa. Habilite 2FA para servicios de correo web como Gmail y Outlook, así como para VPN, advirtió el FBI. Y habilitarlo ahora. Esto es lo que necesitas saber.
FBI y CISA Problema Medusa Ransomware Industry Aling
Medusa, un proveedor de ransomware como servicio altamente peligroso, conocido por haber impactado al menos 300 víctimas del sector de infraestructura crítica desde que se observó la campaña en junio de 2021, se sabe que emplea tanto la ingeniería social como la explotación de vulnerabilidad de software durante los ataques. Las investigaciones del FBI tan recientemente como febrero han permitido a las agencias de inteligencia reunir un expediente de tácticas, técnicas y procedimientos, indicadores de compromiso y métodos de detección asociados con los actores de amenazas.
En asociación con la Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU., El FBI ha emitido una conjunta el 12 de marzo aviso de ciberseguridad En el contexto de los ataques del Grupo de Ransomware Medusa. La alerta completa del FBI, Aa2- aa mp3entra en gran profundidad con respecto a los tecnicismos de la operación Medusa. Como tal, es importante que esto sea leído por todos los defensores cibernéticos. Sin embargo, a los efectos de este artículo, me centraré en el consejo de mitigación de ataque ofrecido por el FBI.
Insights expertos después de la advertencia del FBI sobre las campañas de ransomware de Medusa
El ransomware como servicio está vivo y bien. Esa es la conclusión de la advertencia del FBI. «Medusa es un nombre adecuado para este ataque, considerando sus impactos multifacéticos y de gran alcance en varias industrias», dijo Tim Morris, asesor de seguridad jefe de Tanium. Medusa madura y efectiva para la explotación, la persistencia, el movimiento lateral y la ocultación, Morris continuó, lo que hace que sea «crucial para las organizaciones administrar sus propiedades adecuadamente, saber dónde están sus activos y garantizar que tengan mecanismos robustos de defensa en profundidad».
«Los operadores de ransomware como Medusa se enfocan en obtener apalancamiento para extorsionar a las organizaciones, Jon Miller, CEO y cofundador de Halcyon, dijo:» Hacer que las entidades críticas de la infraestructura sean los objetivos principales debido a su mayor motivación para mantener servicios ininterrumpidos «. Explicaron estos grupos, explotan las brechas de seguridad, aprovechando las vulnerabilidades para moverse lateralmente, aumentar los privilegios, exfiltrar datos confidenciales y finalmente implementar sus cargas útiles. «Una vez dentro de una red», continuó Miller, «Medusa emplea estrategias sofisticadas para maximizar el impacto». Específicamente, el grupo ejecuta comandos cifrados Base64 a través de PowerShell para evitar la detección y utiliza herramientas como Mimikatz para extraer credenciales de la memoria, facilitando más compromisos de la red. «También aprovechan el software de acceso remoto legítimo», advirtió Miller, «incluidos Anydesk y Connectwise, así como herramientas como PSEXEC y RDP, para propagarse a través de la red». Diseñado para infligir la máxima interrupción operativa, Medusa puede terminar más de 200 servicios y procesos de Windows, incluidos los relacionados con el software de seguridad, continuó Miller.
El proceso de cifrado de Medusa emplea el cifrado AES-256, combinado con la criptografía de clave pública RSA, para cifrar archivos de forma segura, dijo Miller. «Para obstaculizar los esfuerzos de restauración de datos, Medusa implementa medidas como eliminar copias de sombra de volumen, deshabilitar las opciones de recuperación de inicio y eliminar copias de seguridad locales», agregó Miller. Para contrarrestar las amenazas como Medusa, aconsejó Miller, las organizaciones de infraestructura crítica tienen que reforzar sus defensas para resistir los ataques de ransomware sin recurrir a pagos de rescate o depender únicamente de las copias de seguridad. «Eliminar el incentivo para pagar es crucial para interrumpir el modelo financiero de la industria del ransomware», concluyó Miller.
Mitigating Medusa: FBI dice que habilite 2FA para Webmail y VPN ahora
Cuando se trata de inmediato, como en este momento, las acciones que todas las organizaciones deberían tomar para mitigar las campañas de ataque de ransomware de Medusa, el FBI ha recomendado lo siguiente:
- Requiere autenticación de dos factores para todos los servicios cuando sea posible, pero en particular para Webmail, como Gmail, Outlook y otros, junto con redes privadas virtuales y cualquier cuenta que pueda acceder a sistemas críticos.
- Requiere que todas las cuentas con inicios de sesión de contraseña usen contraseñas largas y considere no requerir cambios de contraseña recurrentes con frecuencia, ya que pueden debilitar la seguridad.
- Conserve múltiples copias de datos y servidores confidenciales o patentados en una ubicación físicamente separada, segmentada y segura.
- Mantenga todos los sistemas operativos, software y firmware actualizado. Priorice el parcheo de vulnerabilidades explotadas conocidas en los sistemas orientados a Internet.
- Identificar, detectar e investigar la actividad anormal y el recorrido potencial del ransomware indicado con una herramienta de monitoreo de redes.
- Monitorear los intentos de escaneo y acceso no autorizados.
- Filtre el tráfico de red evitando que los orígenes desconocidos o no confiables accedan a servicios remotos en sistemas internos.
- Auditar las cuentas de los usuarios con privilegios administrativos y configurar los controles de acceso de acuerdo con el principio de menor privilegio.
- Deshabilitar actividades y permisos de línea de comandos y secuencias de comandos.
- Deshabilitar puertos no utilizados. Aseguros a pesar del FBI y CISA, los piratas informáticos deben estar reírse
Mientras tanto, Dan Lattimer, un vicepresidente asociado de Semperis, buscó recordarnos que el aviso del FBI debería servir como otro corredor de memoria del hecho de que el ransomware Medusa es muy persistente y tiene el potencial de impactar a cientos, si no miles de organizaciones. «Los defensores tienen sus manos abordando la presencia de Medusa», dijo Lattimer, junto con «las recomendaciones de mitigación que incluyen implementar parches de software, segmentación de red y bloquear el acceso a los servicios de fuentes desconocidas o no confiables ayudarán a las organizaciones a mejorar su resiliencia operativa». La adopción de una posición de incumplimiento supuesta podría ser un registro desgastado en este momento, pero debido a que las empresas que operan bajo el supuesto de que sus sistemas han sido o se verán comprometidos, el enfoque de evitar que las infracciones detecten, respondan y se recuperen rápidamente, argumentó Lattimer, no se debe pasar por alto. «Además, los sistemas de identidad, con mayor frecuencia activo, se dirigen al 90 por ciento de los ataques de ransomware», continuó Lattimer. Active Directory controla la autenticación y la autorización a aplicaciones y datos, manteniendo efectivamente las claves del reino. «Si los atacantes obtienen acceso a Active Directory», advirtió Lattimer, «pueden controlar cualquier recurso dentro de una organización».
La advertencia del FBI no va lo suficientemente lejos
No todos están contentos con el consejo que ha sido dado por el FBI y el CISA con respecto a la amenaza del grupo de ransomware de Medusa. Tomemos a Roger Grimes, un evangelista de defensa basado en datos en KnowBe4, quien dijo que continúa una larga tradición de «advertir a las personas sobre el ransomware que se propaga usando ingeniería social, que no sugiere la capacitación de conciencia de seguridad como una forma principal de derrotarlo». Grimes dijo que, en la experiencia de KnowBe4, la ingeniería social está involucrada en el 70% – 90% de todos los ataques de piratería exitosos. Sin embargo, a pesar de la alerta oficial que señala que la ingeniería social es uno de los principales métodos para distribuir las amenazas de ransomware, la conciencia no se menciona en las 15 mitigaciones recomendadas. «Es como aprender que los delincuentes están entrando en su casa todo el tiempo a través de las ventanas y luego recomendando más cerraduras para las puertas», dijo Grimes. Advertencia de que una desalineación tan continua entre las formas en que los actores de amenazas y sus programas de malware nos atacan con mayor frecuencia y cómo se nos dice que nos defendamos a nosotros mismos que los piratas informáticos continúen teniendo éxito, Grimes concluyó que «los piratas informáticos deben reírse».
No pague el rescate, el FBI y otros advierten
El FBI advirtió previamente que las víctimas de ransomware no deberían pagar el rescate exigido. Lattimer me dijo que un análisis reciente de ransomware de Semperis reveló que la mayoría de los ataques de ransomware no son algo único. «El 75% de las organizaciones fueron atacadas varias veces en los últimos 12 meses», dijo Lattimer, con más del 70% de las organizaciones que pagan múltiples rescates como resultado. «No se recomienda pagar rescates más que en situaciones de vida y muerte o cuando una empresa cree que no tiene otra opción», dijo Lattimer. Pagar rescates no garantiza un retorno a las operaciones comerciales normales, y el 35% de las víctimas que pagaron un rescate, según el análisis interno de los datos, no recibieron claves de descifrado o recibieron claves corruptas.
La oficina de campo del FBI Denver advierte sobre más amenazas de ransomware
El Oficina de Campo del FBI Denver ha emitido una advertencia a todos los usuarios de una campaña de estafa recientemente descubierta que implica el uso de herramientas de convertidor de documentos en línea gratuitas que realmente terminan conduciendo a ataques de ransomware. «La mejor manera de frustrar a estos estafadores es educar a las personas para que no sean víctimas de estos estafadores en primer lugar», dijo el agente especial del FBI Denver a cargo, Mark Michalek. En ese interés, entonces, esto es lo que debe tener en cuenta: cualquier sitio web que ofrezca para ofrecer la conversión gratuita de un tipo de archivo a otro, en particular los archivos .doc a los archivos .pdf. Si bien estas herramientas a menudo harán lo que dicen, el archivo que los resultados pueden contener malware oculto. Solo usar herramientas de sitios y servicios de buena reputación es el mejor consejo aquí.
