El FBI emitirá consejos de mitigación a medida que continúen los ataques de ransomware Medusa.
Getty Images
Actualizado, 15 de marzo de 2025: esta historia se publicó originalmente el 13 de marzo y se actualizó con comentarios de expertos de expertos en infosecuridad después de advertencias de ataques de ransomware Medusa y asesoramiento de mitigación de fbi de emergencia.
La Oficina Federal de Investigación advirtió recientemente sobre las extrañas amenazas de ataque de ransomware que ofrece el Servicio Postal de los Estados Unidos, junto con algunas de las amenazas más sofisticadas de los llamados ataques fantasmas, así como algunas de las amenazas más sofisticadas para los usuarios de Gmail que nunca han sido más comunes. Anteriormente, al aconsejar a los usuarios que mitigaran tales ataques utilizando la autenticación de dos factores, las alertas de la industria del FBI recientemente lanzadas han reunido consejos de mitigación en uno a medida que continúan los ataques continuos de las pandillas de ransomware de Medusa. El FBI le advierte que habilita 2FA para servicios de correo web como Gmail y Outlook, así como VPN. Y ahora habilitarlo. Esto es lo que necesitas saber.
FBI y CISA emitirán alertas conjuntas para la industria de ransomware Medusa
Desde que la campaña se observó por primera vez en junio de 2021, el ransomware como proveedor de servicios como un ransomware altamente peligroso, se sabe que Medusa ha afectado al menos a 300 víctimas de los sectores de infraestructura crítica, y se sabe que emplea ingeniería social y explotando vulnerabilidades en software no ganado durante los ataques. La investigación del FBI recientemente comenzó en febrero cuando las agencias de inteligencia pudieron reunir documentos sobre tácticas, técnicas, procedimientos, métricas de compromiso y métodos de detección relacionados con los actores de amenazas.
En colaboración con las agencias de seguridad de ciberseguridad e infraestructura de EE. UU., El FBI emitió un aviso de seguridad cibernética conjunta del 12 de marzo en el contexto de los ataques del Grupo de Ransomware Medusa. Una alerta completa del FBI, el AA25-071A adquiere una gran profundidad en la tecnología de operación Medusa. Por lo tanto, es importante que todos los defensores cibernéticos lean esto. Sin embargo, a los efectos de este artículo, nos centraremos en el asesoramiento de mitigación de ataque proporcionado por el FBI.
Insight de expertos después de advertencias del FBI sobre la campaña de ransomware de Medusa
El servicio de ransomware es animado. Esa es la conclusión de la advertencia del FBI. “Medusa es el nombre correcto para este ataque dado su impacto multifacético y generalizado en una variedad de industrias”, dijo Tim Morris, el principal asesor de seguridad de Tanium. Medusa era madura y efectiva en explotación, persistencia, movimiento lateral y ocultación, y Morris continuó. Esto hace que sea importante que las organizaciones administren adecuadamente su propiedad, sepan dónde están sus activos y garantizan mecanismos de defensa sólidos “.
“Los operadores de ransomware como Medusa se están centrando en obtener el apalancamiento para forzar a las organizaciones de Jon Miller, CEO y cofundador de Halcyon, quien aprovechará las brechas de seguridad para moverse de lado, escalarse los privilegios, eliminar datos confidenciales y eventualmente las cargas útiles. S a través de PowerShell para evitar la detección y extrae credenciales de la memoria utilizando herramientas como Mimikatz para facilitar un mayor compromiso de la red. “También utilizan software legal de acceso remoto”, advirtió Miller. “Se propaga a través de la red, incluidas herramientas como AnyDesk, Connectwise, PSEXEC y RDP”.
MITUSA MITIGACIÓN – El FBI dice que habilitará 2FA para Webmail y VPN ahora
Como es el caso ahora, el FBI recomienda:
Se requiere autenticación de dos factores para todos los servicios cuando sea posible, pero el correo web, como Gmail y Outlook, en particular, requiere una cuenta que pueda acceder a redes privadas virtuales y sistemas críticos. Considere no requerir cambios de contraseña frecuentes y repetidos, ya que se requieren contraseñas largas para usar todas las cuentas con inicios de sesión de contraseña y pueden debilitar la seguridad. Mantenga datos confidenciales o de propiedad y múltiples copias de su servidor en una ubicación física aislada, segmentada y segura. Mantenga todos sus sistemas operativos, software y firmware actualizado. Priorice las vulnerabilidades explotadas conocidas en los sistemas orientados a Internet. Identificar, detectar e investigar la actividad anormal y los cruces potenciales del ransomware indicado utilizando herramientas de monitoreo de redes. Monitorear los escaneos no autorizados y los intentos de acceso. Filtre el tráfico de red evitando que los orígenes desconocidos o no confiables accedan a servicios remotos en sistemas internos. Auditar las cuentas de los usuarios con derechos administrativos y configurar los controles de acceso de acuerdo con el principio de menor privilegio. Desactiva la línea de comandos y la actividad y los permisos de script. Desactiva los puertos no utilizados.
No todos están satisfechos con los consejos dados por el FBI y el CISA con respecto a la amenaza del Grupo de Ransomware Medusa. Tomando el evangélico de defensa de los datos de KnowBe4, Roger Grimes, dijo que ha continuado la larga tradición de advertir a las personas sobre la propagación de ransomware utilizando la ingeniería social. Las inales están constantemente rompiendo en su hogar a través de las ventanas y luego recomendando más cerraduras a la puerta “, dijo Grimes. Advertencia de que una inconsistencia tan continua entre la forma en que los actores de amenaza son atacados con mayor frecuencia por los programas de malware y cómo se les dice que se protejan a sí mismos permitirá a los piratas informáticos continuar teniendo éxito, Grimes concluyó que “los piratas informáticos deben reír”.
