As autoridades federais dos Estados Unidos emitiram um alerta urgente para usuários de serviços de e-mail como Gmail e Outlook sobre uma nova ameaça de ransomware conhecida como “Medusa”, vírus desenvolvido por hackers. Desenvolvida por um grupo chamado Spearwing, essa variante maliciosa já comprometeu centenas de sistemas, afetando setores como saúde, educação, direito, seguros, tecnologia e manufatura. A Cybersecurity and Infrastructure Security Agency (CISA) e o FBI divulgaram um comunicado em 12 de março, destacando os riscos e fornecendo orientações para proteger redes e dados.
Identificado pela primeira vez em junho de 2021, o ransomware Medusa tem sido utilizado em ataques de dupla extorsão, nos quais os criminosos não apenas criptografam os dados das vítimas, mas também roubam informações sensíveis, ameaçando publicá-las caso o resgate não seja pago. De acordo com a Symantec, empresa especializada em segurança digital, o grupo Spearwing já listou cerca de 400 vítimas em seu site de vazamentos, com valores de resgate variando de US$100 mil a US$ 15 milhões. O número real de afetados, no entanto, pode ser significativamente maior.
A empresa de segurança também revelou que o grupo tem se infiltrado em redes corporativas por meio de métodos ainda não totalmente compreendidos, incluindo o sequestro de contas legítimas, especialmente em organizações de saúde. Em muitos casos, os vetores de infecção não puderam ser identificados, sugerindo que os invasores podem estar utilizando técnicas além de exploits tradicionais.
Para combater essa ameaça, o FBI e a CISA recomendam medidas preventivas robustas. Entre elas, destacam-se a criação de planos de recuperação que incluam múltiplas cópias de dados críticos armazenadas em locais seguros e isolados, como discos rígidos externos ou na nuvem. Além disso, é essencial implementar senhas fortes e alterá-las regularmente, bem como exigir autenticação multifatorial para acessos a sistemas sensíveis, como webmail e redes privadas virtuais (VPNs).
Outra recomendação crucial é manter todos os sistemas operacionais, softwares e firmwares atualizados, reduzindo vulnerabilidades que possam ser exploradas por cibercriminosos. Essas práticas são parte de uma iniciativa contínua das agências, chamada #StopRansomware, que visa educar organizações sobre táticas, técnicas e procedimentos (TTPs) usados por grupos de ransomware, além de fornecer indicadores de comprometimento (IOCs) para ajudar na detecção precoce de ameaças.
Enquanto o Medusa continua a representar um risco significativo, especialistas em segurança cibernética enfatizam a importância de uma postura proativa, combinando tecnologia, treinamento de funcionários e políticas rigorosas para minimizar os impactos de ataques futuros.
Como se proteger do Medusa?
Para mitigar o ransomware Medusa, o FBI e o CISA estão recomendando que as pessoas:
Desenvolva um plano de recuperação para manter e reter várias cópias de dados e servidores confidenciais ou proprietários em um local fisicamente separado, segmentado e seguro. Por exemplo, discos rígidos, dispositivos de armazenamento e a nuvem.
Exija que todas as contas tenham logins de senha. Os funcionários das empresas devem usar senhas longas, que devem ser alteradas com frequência.
Exija autenticação multifator para todos os serviços, especialmente para webmail, redes privadas virtuais e contas que acessam sistemas críticos.
Certifique-se de que todos os sistemas operacionais, software e firmware estejam atualizados.
Segmente as redes para evitar a disseminação de ransomware.
Identifique, detecte e investigue atividades estranhas e a possível passagem do ransomware indicado com uma ferramenta de monitoramento de rede.
Exija VPNs ou Jump Hosts para acesso remoto.
Monitore tentativas de varredura e acesso não autorizados.
Filtre o tráfego de rede impedindo que origens desconhecidas ou não confiáveis acessem serviços remotos em sistemas internos.
Desabilite portas não utilizadas
Mantenha backups offline de dados e faça backup e restauração regularmente.
Certifique-se de que todos os dados de backup estejam criptografados e inflexíveis.
