Desde sua primeira aparição em janeiro de 2023, o Medusa Ransomware já comprometeu quase 400 vítimas ao redor do mundo. Entre 2023 e 2024, os ataques aumentaram 42%, e somente nos primeiros meses de 2025, mais de 40 novas vítimas foram identificadas, segundo um relatório da Symantec Threat Hunter Team.
Crescimento alarmante do Medusa Ransomware em 2025
A empresa de segurança cibernética acompanha o grupo responsável pelo ransomware sob o codinome Spearwing. Assim como outras gangues de cibercriminosos, o Medusa adota a estratégia de extorsão dupla: primeiro, rouba os dados das vítimas e, em seguida, criptografa os sistemas, aumentando a pressão para que o resgate seja pago. Caso a vítima se recuse a pagar, os criminosos ameaçam divulgar as informações roubadas em sua plataforma de vazamento de dados.
Ransomware preenche lacuna deixada por LockBit e BlackCat
Com a queda de grandes operações como LockBit e BlackCat, novas ameaças como RansomHub, Play e Qilin têm crescido rapidamente. O aumento das infecções causadas pelo Medusa sugere que seus operadores estão tentando ocupar o espaço deixado pelos extorsionistas desativados.
Além do Medusa, um fluxo constante de novas variantes de ransomware vem emergindo, incluindo Anubis, CipherLocker, Core, Dange, LCRYX, Loches, Vgod e Xelera. O cenário de ameaças cibernéticas está em constante evolução, tornando a proteção contra ataques cada vez mais desafiadora.
Setores mais visados pelo Medusa Ransomware
O Medusa tem como alvo principal provedores de saúde, organizações sem fins lucrativos, instituições financeiras e entidades governamentais. Os valores de resgate exigidos variam entre US$ 100 mil e US$ 15 milhões, dependendo da capacidade financeira da vítima.
Para invadir redes corporativas, o grupo explora vulnerabilidades conhecidas em softwares amplamente utilizados, como o Microsoft Exchange Server. Além disso, há indícios de que os criminosos utilizam intermediários, conhecidos como corretores de acesso inicial, para facilitar a invasão de sistemas estratégicos.
Métodos sofisticados de ataque
Uma vez dentro da rede da vítima, os hackers do Medusa utilizam diversas ferramentas para manter o acesso e evitar detecção. Entre as técnicas adotadas, destacam-se:
- Uso de softwares de gerenciamento remoto (RMM), como SimpleHelp, AnyDesk e MeshAgent;
- Aplicação do método Bring Your Own Vulnerable Driver (BYOVD) para desativar softwares de segurança, como o KillAV, já utilizado em ataques do BlackCat;
- Emprego do PDQ Deploy para movimentação lateral e instalação de malwares;
- Utilização do Navicat para manipulação de bancos de dados;
- Exfiltração de dados com RoboCopy e Rclone.
Medidas de proteção contra ataques de ransomware
Diante do avanço das ameaças cibernéticas, empresas e instituições devem reforçar suas defesas para mitigar riscos. Algumas das principais medidas incluem:
- Manter sistemas e softwares sempre atualizados;
- Implementar autenticação multifator (MFA);
- Adotar soluções de segurança avançadas para monitoramento e detecção de ameaças;
- Realizar backups frequentes e armazená-los em locais seguros;
- Treinar funcionários sobre boas práticas de segurança digital.
O Medusa Ransomware representa uma ameaça crescente em 2025, exigindo uma postura proativa por parte das organizações para evitar danos financeiros e vazamento de informações sensíveis.