Por qué Medusa Ransomware es una amenaza creciente para la infraestructura crítica

Gerente Senior de Marketing de Contenidos

April 4, 2025

23 min. lectura

Medusa siempre ha sido algo más que un monstruo.

En mito antiguo, su mirada convirtió a los hombres en piedra. Durante el Renacimiento, ella era un símbolo de belleza convertido en mortal. Hoy en día, ha sido reclamada como una figura de transformación, apareciendo en moda, la cultura pop, y símbolos de empoderamiento.

Hoy, ella está de vuelta, no en mármol o mito, sino en malware. Operación de ransomware como servicio (RaaS) de Medusa, activo desde junio 2021, ahora está impulsando los ataques contra la infraestructura crítica en todo el mundo. Los sectores objetivo incluyen las industrias médica, educativa, legal, de seguros, tecnológica y manufacturera.

En los dos primeros meses de 2025, el número de ataques de ransomware Medusa se duplicó en comparación con el mismo periodo del año pasado — un fuerte aumento que indica que Medusa está acelerando, no desvaneciéndose.

Different portrayals of Medusa throughout the years

En el mito, mirar a Medusa significaba la muerte. En ciberseguridad, no verla puede amenazar la energía, el agua, el transporte, los sistemas financieros y la confianza pública, la infraestructura que mantiene al mundo funcionando. ‍

Una advertencia conjunta de CISA y el FBI

En febrero de 2024, CISA y el FBI emitieron un aviso conjunto: #StopRansomware: Medusa Ransomware.

Más que 300 organizaciones ya han sido víctimas, incluidos hospitales, instituciones financieras, escuelas y servicios gubernamentales.

Las agencias han aconsejado estas medidas urgentes:

Asegúrese de que los sistemas operativos, el software y el firmware estén actualizados y estén actualizados.
Segmentar redes para restringir el movimiento lateral.
Filtre el tráfico de red evitando que orígenes desconocidos o que no sean de confianza accedan a servicios remotos.

El ransomware es ahora un riesgo nacional

‍Ransomware no siempre fue tan peligroso. En 1989, el primer ataque ransomware conocido, conocido como Troyano del SIDA — se entregaba en disquete y exigía 189 dólares por correo.

Hoy, según Illumio Estudio sobre el costo global del ransomware:

El 25% de los sistemas críticos se detienen durante un ataque, durante un promedio de 12 horas.
Las demandas promedio de rescate superan los $1.2 millones.
Incluso después del pago, solo el 13% de las víctimas recupera todos sus datos.
La contención toma más de 130 horas (alrededor de 11 días) y casi 18 personas.

El ransomware no es solo una amenaza cibernética. Es una fuga de tiempo, dinero y resiliencia. Y cuando golpea infraestructura crítica, lo que está en juego puede causar la ruina financiera, poner en peligro al público e incluso desestabilizar a los gobiernos.

Por qué la infraestructura crítica está tan expuesta

‍Infraestructura crítica es un imán para el ransomware por una razón importante: importa.

“La infraestructura crítica es esencial por naturaleza; si la eliminas, el efecto de onda es enorme”, dice Trevor Dearing, director de soluciones de infraestructura crítica de Illumio. “La verdadera amenaza para los servicios críticos es cuando las operaciones se detienen, cuando se desconecta la electricidad, el agua o los sistemas de transporte. Ahí es cuando las cosas se ponen realmente peligrosas”.

Desde redes eléctricas hasta tuberías, la columna vertebral de la sociedad a menudo se ejecuta con tecnología obsoleta e imparchable, especialmente sistemas ICS y SCADA heredados.

Michael Adjei, director de ingeniería de sistemas de Illumio para EMEA, está de acuerdo.

“Estos sistemas son difíciles de actualizar y fáciles de explotar para los atacantes”, afirma. “Eso los convierte en objetivos ideales para ransomware como Medusa”.

Incluso a medida que la modernización se acelera, la seguridad a menudo se queda atrás en el mundo de la infraestructura crítica.

“Los sistemas de control cableados están siendo reemplazados por Ethernet y Wi-Fi sin considerar completamente las implicaciones de seguridad”, dice Dearing. “Y muchos fabricantes envían equipos con una seguridad predeterminada débil, luego limitan lo que las organizaciones pueden hacer para endurecerlo”.

Muchas organizaciones de infraestructura crítica son de propiedad pública o dependen de fondos nacionales. Esto significa adquisiciones lentas, supervisión compleja y presupuestos limitados. En otras palabras, es un objetivo masivo y poco defendido.

¿Qué tan grave podría ser un ataque a la infraestructura crítica?

En 2023, 11 de las 15 vulnerabilidades más comunes fueron explotadas como fallas de día cero, según un informe conjunto de CISA y la NSA. La velocidad y la escala de la explotación muestran la rapidez con que los atacantes se están moviendo para convertir los defectos en armas antes de que los defensores puedan parchearlos, especialmente en sistemas críticos. A medida que evolucionan las tácticas de ransomware, los atacantes pueden convertir vulnerabilidades menores en amenazas importantes, con el potencial de desestabilizar la infraestructura crítica e interrumpir los servicios esenciales.

Ransomware creado para la era híbrida

Medusa no necesita vulnerabilidades de día cero ni exploits ruidosos. Se mueve silenciosamente y está diseñado para entornos híbridos, donde las aplicaciones en la nube pueden conectarse a centros de datos locales. ‍

Medusa evita la detección mediante el uso de herramientas que ya están dentro de su red, conocidas como viviendo de la tierra (LotL). En lugar de dejar caer nuevo malware, explota los programas integrados y las vulnerabilidades para combinarse con las operaciones normales.

Estos podrían incluir:

PowerShell
Instrumentación de Administración de Windows (WMI)
Protocolo de Escritorio Remoto (RDP)
ConnectWise ScreenConnect
SSH (en sistemas Linux y Unix)

“Estas herramientas están permitidas, de confianza y ya tienen el acceso que quieren los atacantes”, dice Adjei. “Se trata menos de la herramienta y más de su privilegio y alcance”.

El software de administración remota como ScreenConnect o SolarWinds es especialmente atractivo porque viene preaprobado. Diseñado para conectarse, monitorear y controlar a escala, se convierte en un multiplicador de fuerza en las manos equivocadas, dando a los atacantes un alcance inmediato en todos los sistemas.

Y cuando el ransomware se comporta como TI, es posible que no suscite alarmas.

Como dice Adjei: “El ransomware moderno no llega a estrellarse por la puerta principal, se mezcla como un espía”.‍

Movimiento lateral: cómo se propaga Medusa

Los atacantes aterrizan donde es fácil, no donde quieren estar. Luego se mueven silenciosamente a través de la red, sistema por sistema, hasta llegar a las joyas de la corona.

Hay dos tipos de movimiento lateral:

‍Host intrínseco: escalamiento de privilegios dentro del sistema (por ejemplo, svc-ndscans)‍
Host Extrínsic: movimiento entre máquinas a través de RDP o WinRM

En un ataque típico de Medusa, ambos tipos trabajan juntos. Primero, obtienen el control dentro de un dispositivo. Luego, utilizan ese acceso para desconectarse silenciosamente en toda la red. ‍

Exfiltración de datos y doble extorsión

Medusa también utiliza doble extorsión: encriptar datos y exfiltrarlos, exigiendo un rescate para la recuperación y por la promesa de que los datos robados no serán publicados, vendidos o filtrados en línea o en la web oscura.

En la etapa final, los atacantes localizan y roban datos confidenciales, enviándolos de vuelta a sus servidores de comando y control. Este tráfico de callback se puede tunelizar a través de puertos de comunicación comunes, utilizando técnicas como registros de texto DNS o paquetes ICMP, métodos diseñados para pasar desapercibidos las defensas tradicionales.