Nova pesquisa: Estudo sobre o custo global do ransomware. Veja o que as violações estão custando a você.
Obtenha o relatório
Blog
/
Contenção de ransomware

Por que o Medusa Ransomware é uma ameaça crescente à infraestrutura crítica

Maritza Marie Dubec
,
Gerente sênior de marketing de conteúdo
April 4, 2025
23 leitura mínima

A Medusa sempre foi algo mais do que um monstro.

Em mito antigo, seu olhar transformou os homens em pedra. Durante o Renascimento, ela era um símbolo de beleza que se tornou mortal. Hoje, ela foi recuperada como uma figura de transformação - aparecendo em moda, cultura pop e símbolos de empoderamento.

Hoje, ela está de volta — não em mármore ou mito, mas em malware. Operação de ransomware como serviço (RaaS) da Medusa, ativo desde junho de 2021, agora está intensificando os ataques contra infraestruturas críticas em todo o mundo. Os setores-alvo incluem os setores médico, educacional, jurídico, de seguros, de tecnologia e manufatura.

Nos primeiros dois meses de 2025, o número de ataques de ransomware Medusa dobrou em relação ao mesmo período do ano passado — um aumento acentuado que indica que a Medusa está acelerando, não desaparecendo.

Different portrayals of Medusa throughout the years

No mito, olhar para a Medusa significava morte. Na cibersegurança, deixar de vê-la pode ameaçar a energia, a água, o transporte, os sistemas financeiros e a confiança pública — a infraestrutura que mantém o mundo funcionando.

Uma advertência conjunta da CISA e do FBI

Em fevereiro de 2024, a CISA e o FBI emitiram um comunicado conjunto: #StopRansomware: Medusa Ransomware.

Mais do que 300 organizações já foram vítimas, incluindo hospitais, instituições financeiras, escolas e serviços governamentais.

As agências aconselharam estas medidas urgentes:

  • Certifique-se de que os sistemas operacionais, o software e o firmware estejam corrigidos e atualizados.
  • Segmente as redes para restringir o movimento lateral.
  • Filtre o tráfego da rede impedindo que origens desconhecidas ou não confiáveis acessem serviços remotos.

Ransomware agora é um risco nacional

Ransomware nem sempre foi tão perigoso. Em 1989, o primeiro ataque de ransomware conhecido — conhecido como Trojan da AIDS — foi entregue em disquete e exigiu $189 pelo correio.

Hoje, de acordo com a Illumio Estudo sobre o custo global do ransomware:

  • 25% dos sistemas críticos ficam inativos durante um ataque, por uma média de 12 horas.
  • Os pedidos médios de resgate excedem $1,2 milhão.
  • Mesmo após o pagamento, apenas 13% das vítimas recuperam todos os seus dados.
  • A contenção leva mais de 130 horas (cerca de 11 dias) e quase 18 pessoas.

O ransomware não é apenas uma ameaça cibernética. É uma perda de tempo, dinheiro e resiliência. E quando atinge uma infraestrutura crítica, os riscos podem causar ruína financeira, colocar em risco o público e até mesmo desestabilizar governos.

Por que a infraestrutura crítica está tão exposta

Infraestrutura crítica é um ímã para o ransomware por um motivo importante: é importante.

“A infraestrutura crítica é essencial por natureza — se você eliminá-la, o efeito cascata é enorme”, diz Trevor Dearing, diretor de soluções de infraestrutura crítica da Illumio. “A verdadeira ameaça aos serviços essenciais é quando as operações param — quando os sistemas de eletricidade, água ou transporte são desligados. É quando as coisas ficam realmente perigosas.”

De redes elétricas a tubulações, a espinha dorsal da sociedade geralmente funciona com tecnologia desatualizada e imbatível, especialmente sistemas ICS e SCADA legados.

Michael Adjei, diretor de engenharia de sistemas da Illumio para EMEA, concorda.

“Esses sistemas são difíceis de atualizar e fáceis de serem explorados pelos invasores”, diz ele. “Isso os torna alvos ideais para ransomwares como o Medusa.”

Mesmo com o ritmo acelerado da modernização, a segurança geralmente fica para trás no mundo da infraestrutura crítica.

“Os sistemas de controle com fio estão sendo substituídos por Ethernet e Wi-Fi sem considerar totalmente as implicações de segurança”, diz Dearing. “E muitos fabricantes enviam equipamentos com segurança padrão fraca e, em seguida, limitam o que as organizações podem fazer para fortalecê-los.”

Muitas organizações de infraestrutura crítica são de propriedade pública ou dependem de financiamento nacional. Isso significa compras lentas, supervisão complexa e orçamentos limitados. Em outras palavras, é um alvo enorme e pouco defendido.

Quão sério pode ser um ataque a uma infraestrutura crítica?

Em 2023, 11 das 15 vulnerabilidades mais comuns foram exploradas como falhas de dia zero, de acordo com um relatório conjunto da CISA e da NSA. A velocidade e a escala da exploração mostram a rapidez com que os atacantes estão se movendo para transformar as falhas em armas antes que os defensores possam corrigi-las, especialmente em sistemas críticos. À medida que as táticas de ransomware evoluem, os atacantes podem transformar pequenas vulnerabilidades em grandes ameaças, com o potencial de desestabilizar a infraestrutura crítica e interromper os serviços essenciais.

Ransomware criado para a era híbrida

A Medusa não precisa de vulnerabilidades de dia zero ou explorações ruidosas. Ele se move silenciosamente e foi criado para ambientes híbridos, onde os aplicativos em nuvem podem se conectar a data centers locais.

O Medusa evita a detecção usando ferramentas que já estão dentro de sua rede — conhecidas como vivendo da terra (LotL). Em vez de lançar novos malwares, ele explora programas e vulnerabilidades integrados para se misturar às operações normais.

Isso pode incluir:

  • PowerShell
  • Instrumentação de gerenciamento do Windows (WMI)
  • Protocolo de desktop remoto (RDP)
  • ConnectWise ScreenConnect
  • SSH (em sistemas Linux e Unix)

“Essas ferramentas são permitidas, confiáveis e já têm o acesso que os atacantes desejam”, diz Adjei. “É menos sobre a ferramenta e mais sobre seu privilégio e alcance.”

Softwares de gerenciamento remoto, como o ScreenConnect ou o SolarWinds, são especialmente atraentes porque são pré-aprovados. Projetado para conectar, monitorar e controlar em grande escala, ele se torna um multiplicador de força nas mãos erradas, oferecendo aos atacantes um alcance imediato entre os sistemas.

E quando o ransomware se comporta como a TI, ele pode não disparar alarmes.

Como diz Adjei: “O ransomware moderno não entra pela porta da frente — ele se mistura como um espião”.

Movimento lateral: como a Medusa se espalha

Os atacantes aterrissam onde é fácil, não onde eles querem estar. Em seguida, eles se movem silenciosamente pela rede, sistema por sistema, até chegarem às joias da coroa.

Existem dois tipos de movimento lateral:

  • Intrínseco ao hospedeiro: escalonamento de privilégios dentro do sistema (por exemplo, svc-ndscans)
  • Hospedeiro extrínseco: movendo-se entre máquinas via RDP ou WinRM

Em um ataque típico da Medusa, os dois tipos funcionam juntos. Primeiro, eles ganham controle dentro de um dispositivo. Em seguida, eles usam esse acesso para se espalhar silenciosamente pela rede.

The process of lateral movement

Exfiltração de dados e dupla extorsão

A Medusa também usa dupla extorsão: criptografar dados e exfiltrá-los — exigindo resgate para recuperação e a promessa de que os dados roubados não serão publicados, vendidos ou vazados on-line ou na dark web.

No estágio final, os invasores localizam e roubam dados confidenciais, enviando-os de volta para seus servidores de comando e controle. Esse tráfego de retorno de chamada pode ser canalizado por meio de portas de comunicação comuns, usando técnicas como registros de texto DNS ou pacotes ICMP — métodos projetados para passar despercebidos pelas defesas tradicionais.

As ferramentas de tunelamento de DNS permitem que os invasores extraiam dados por meio de protocolos confiáveis, como o DNS, dificultando sua detecção.

Não se afaste da Medusa

Para saber mais sobre o escopo, a escala e os riscos das ameaças atuais de ransomware:

Tópicos relacionados

Contenção de ransomware

Artigos relacionados

Redução de ransomware 101: movimento lateral entre terminais
Contenção de ransomware

Redução de ransomware 101: movimento lateral entre terminais

Leia mais
Ransomware: como organizações de pequeno e médio porte podem impedir sua propagação
Contenção de ransomware

Ransomware: como organizações de pequeno e médio porte podem impedir sua propagação

Leia mais
5 etapas para conter o malware com segmentação Zero Trust
Contenção de ransomware

5 etapas para conter o malware com segmentação Zero Trust

Leia mais
Estudo sobre o custo global do ransomware: o que os números nos dizem
Contenção de ransomware

Estudo sobre o custo global do ransomware: o que os números nos dizem

Saiba como os atacantes estão migrando para a disrupção operacional, por que a prevenção não é suficiente e como o Zero Trust e a microssegmentação contêm o impacto do ransomware.

Leia mais
9 razões para usar o Illumio para conter ransomware
Contenção de ransomware

9 razões para usar o Illumio para conter ransomware

Descubra como a visibilidade em tempo real e os controles simples da Illumio reduzirão rapidamente suas maiores fontes de riscos de ransomware, como portas RDP não utilizadas.

Leia mais
Ransomware em 2025: custo, tendências e como reduzir seu risco
Contenção de ransomware

Ransomware em 2025: custo, tendências e como reduzir seu risco

Saiba como os invasores exploram as brechas de segurança, por que o ransomware agora é um modelo de negócios e como a microssegmentação pode impedir que as ameaças apareçam.

Leia mais

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Saiba mais