Por qué Medusa Ransomware es una amenaza creciente para la infraestructura crítica

Medusa siempre fue algo más que un monstruo.

In ancient myth, her gaze turned men to stone. During the Renaissance, she was a symbol of beauty turned deadly. Today, she’s been reclaimed as a figure of transformation — showing up in fashion, pop culture, and symbols of empowerment.

Today, she’s back — not in marble or myth, but in malware. Medusa's ransomware-as-a-service (RaaS) operation, active since June 2021, is now ramping up attacks against critical infrastructure around the world. Targeted sectors include the medical, education, legal, insurance, technology, and manufacturing industries.

In the first two months of 2025, the number of Medusa ransomware attacks doubled compared to the same period last year — a sharp rise that signals Medusa is accelerating, not fading.

Diferentes representaciones de Medusa a lo largo de los años

En el mito, mirar a Medusa significaba la muerte. En ciberseguridad, no verla puede amenazar la energía, el agua, el transporte, los sistemas financieros y la confianza pública, la infraestructura que mantiene el mundo en funcionamiento. ‍

Una advertencia conjunta de CISA y el FBI

In February 2024, CISA and the FBI issued a joint advisory: #StopRansomware: Medusa Ransomware.

More than 300 organizations have already fallen victim, including hospitals, financial institutions, schools, and government services.

Las agencias aconsejaron estos pasos urgentes:

Cerciorar de que los sistemas operativos, el software y el firmware estén parcheados y actualizados.
Segmentar redes para restringir el movimiento lateral.
Filtre el tráfico de red evitando que orígenes desconocidos o no confiables accedan a servicios remotos.

El ransomware es ahora un riesgo nacional

‍Ransomware wasn’t always this dangerous. In 1989, the first known ransomware attack — known as the AIDS Trojan — was delivered by floppy disk and demanded $189 by mail.

Today, according to Illumio's Global Cost of Ransomware Study:

El 25% de los sistemas críticos se caen durante un ataque, durante un promedio de 12 horas.
Las demandas de rescate promedio superan los $ 1.2 millones.
Incluso luego del pago, solo el 13% de las víctimas recuperan todos sus datos.
La contención toma más de 130 horas (aproximadamente 11 días) y casi 18 personas.

El ransomware no es solo una amenaza cibernética. Es una pérdida de tiempo, dinero y resiliencia. Y cuando golpea la infraestructura crítica, lo que está en juego puede causar la ruina financiera, poner en peligro al público e incluso desestabilizar a los gobiernos.

Por qué la infraestructura crítica está tan expuesta

‍Critical infrastructure is a magnet for ransomware for an important reason: it matters.

"La infraestructura crítica es esencial por naturaleza: si la eliminas, el efecto dominó es enorme", dice Trevor Dearing, director de soluciones de infraestructura crítica de Illumio. "La verdadera amenaza para los servicios críticos es cuando las operaciones se detienen, cuando los sistemas de electricidad, agua o transporte se desconectan. Ahí es cuando las cosas se ponen realmente peligrosas".

Desde las redes eléctricas hasta las tuberías, la columna vertebral de la sociedad a menudo funciona con tecnología obsoleta y sin parches, especialmente los sistemas ICS y SCADA heredados.

Michael Adjei, director de ingeniería de sistemas de Illumio para EMEA, está de acuerdo.

"Estos sistemas son difíciles de actualizar y fáciles de explotar para los atacantes", dice. "Eso los convierte en objetivos ideales para ransomware como Medusa".

Incluso a medida que la modernización se acelera, la seguridad a menudo se queda atrás en el mundo de la infraestructura crítica.

"Los sistemas de control cableados están siendo reemplazados por Ethernet y Wi-Fi sin considerar completamente las participaciones de seguridad", dice Dearing. "Y muchos fabricantes envían equipos con una seguridad predeterminada débil, y luego limitan lo que las organizaciones pueden hacer para fortalecerla".

Muchas organizaciones de infraestructura crítica son de propiedad pública o dependen de fondos nacionales. Esto significa adquisiciones lentas, supervisión compleja y cotizaciones limitadas. En otras palabras, es un objetivo masivo y poco defendido.

¿Qué tan grave podría ser un ataque a la infraestructura crítica?

In 2023, 11 of the 15 most common vulnerabilities were exploited as zero-day flaws, according to a joint report from CISA and the NSA. The speed and scale of exploitation show just how quickly attackers are moving to weaponize flaws before defenders can patch them — especially in critical systems. As ransomware tactics evolve, attackers can turn minor vulnerabilities into major threats — with the potential to destabilize critical infrastructure and disrupt essential services.

Ransomware creado para la era híbrida

Medusa no necesita vulnerabilidades de día cero ni exploits ruidosos. Se mueve silenciosamente y está diseñado para entornos híbridos, donde las aplicaciones en la nube pueden conectarse a centros de datos locales. ‍

Medusa avoids detection by using tools already inside your network — known as living off the land (LotL). Instead of dropping new malware, it exploits built-in programs and vulnerabilities to blend in with normal operations.

Estos podrían incluir:

PowerShell
Instrumental de administración de Windows (WMI)
Protocolo de escritorio remoto (RDP)
ConnectWise ScreenConnect
SSH (en sistemas Linux y Unix)

"Estas herramientas están permitidas, son confiables y ya tienen el acceso que los atacantes desean", dice Adjei. "Se trata menos de la herramienta y más de su privilegio y alcance".

El software de gestión remota como ScreenConnect o SolarWinds es especialmente atractivo porque viene preaprobado. Diseñado para conectar, monitorear y controlar a escala, se convierte en un multiplicador de fuerza en las manos equivocadas, lo que brinda a los atacantes un alcance inmediato en todos los sistemas.

Y cuando el ransomware se comporta como TI, es posible que no encienda las alarmas.

Como dice Adjei: "El ransomware moderno no entra por la puerta principal, se mezcla como un espía".

Movimiento lateral: cómo se propaga Medusa

Los atacantes aterrizan donde es fácil, no donde quieren estar. Luego se mueven silenciosamente a través de la red, sistema por sistema, hasta llegar a las joyas de la corona.

There are two types of lateral movement:

Intrínseca del host: escalada de privilegios dentro del sistema (por ejemplo, svc-ndscans)
Extrínseco del host: mover entre máquinas a través de RDP o WinRM

En un ataque típico de Medusa, ambos tipos trabajan juntos. Primero, obtienen el control dentro de un dispositivo. Luego, usan ese acceso para desplegar silenciosamente a través de la red. ‍

Exfiltración de datos y doble extorsión

Medusa también emplea la doble extorsión: cifrar datos y exfiltrarlos, exigiendo un rescate por la recuperación y por la promesa de que los datos robados no se publicarán, venderán ni filtrarán en línea o en el sitio web oscuro.

En la etapa final, los atacantes localizan y roban datos confidenciales, enviándolos de vuelta a sus servidores de comando y control. Este tráfico de devolución de llamada se puede canalizar a través de puertos de comunicación comunes, empleando técnicas como registros de texto DNS o paquetes ICMP, métodos diseñados para pasar desapercibidos por las defensas tradicionales.