Logotipo de DOS.CINCO, empresa de ciberseguridad
Chatea con nosotros en WhatsApp
Volver arriba

Nuestro Blog Detalle

By Admin
Publicando 5 mar 2025

Alerta por Medusa: doble extorsión y filtración de datos

Medusa se ha consolidado como una de las familias de ransomware más agresivas: combina cifrado de sistemas con doble extorsión —amenaza de publicar datos robados en sitios de filtración— para presionar el pago. No solo paraliza operaciones; también genera un riesgo reputacional, legal y regulatorio de alto impacto.

El modelo es claro: cifro + exfiltrato + exhibo. Si no pagas, tus datos pueden terminar en portales públicos de filtración, canales de Telegram o foros criminales. Prepararse implica fortalecer backups, segmentación, monitoreo y un plan de Respuesta a Incidentes (IR) que ya contemple escenarios de divulgación de datos.

¿Quién es Medusa y por qué preocupa?

  • Ransomware-as-a-Service (RaaS): afiliados operan las intrusiones y comparten ganancias.
  • Foco en organizaciones: gobierno, educación, salud, manufactura, servicios.
  • Doble extorsión: cifrado + amenaza de publicar gigabytes de información robada.
  • Tiendas de filtración: portales dedicados donde exponen muestras de datos para presionar.
  • Presión mediática: uso de plazos, “countdowns” y contacto directo para forzar decisiones rápidas.

“Frente a Medusa, no basta con tener backups: necesitas backups probados, segmentación y un plan de comunicación de crisis listo para ejecutarse.”

Cadena típica de ataque de Medusa

  1. Acceso inicial: credenciales robadas, RDP expuesto, VPN sin MFA o phishing dirigido.
  2. Movimiento lateral: uso de herramientas legítimas (living-off-the-land) para evitar detecciones.
  3. Descubrimiento: identificación de servidores críticos, backups, dominios y shares sensibles.
  4. Exfiltración: subida de grandes volúmenes de datos a infra del atacante o servicios legítimos.
  5. Cifrado y nota: despliegue del binario, cifrado masivo y notas de rescate en sistemas afectados.
  6. Extorsión y fuga: si no hay pago, publicación paulatina de datos en sitios de filtración.

Controles preventivos clave

  • Endurecimiento de acceso remoto: VPN y RDP solo con MFA FIDO/WebAuthn, sin puertos abiertos.
  • Gestión de privilegios: cuentas admin separadas, just-in-time y mínimos privilegios.
  • EDR/MDR en endpoints y servidores: detección de movimientos laterales y ejecución anómala.
  • Backups 3-2-1: copias fuera de línea, pruebas de restauración periódicas y acceso restringido.
  • Segmentación de red: evitar que un solo compromiso se convierta en apagón completo.

Qué monitorear (señales de alerta)

  • Inicios de sesión desde ubicaciones geográficas atípicas en VPN/RDP.
  • Uso inusual de herramientas administrativas (PsExec, PowerShell, WMI) por cuentas no habituales.
  • Aumentos significativos de tráfico de salida (posible exfiltración) hacia IPs o dominios desconocidos.
  • Creación/modificación de tareas programadas y servicios sospechosos.
  • Desactivación de EDR/antivirus o cambios de políticas de seguridad sin change control.

Playbook básico ante Medusa/doble extorsión

  1. Contener: aislar segmentos afectados, revocar accesos y preservar evidencias (logs, imágenes).
  2. Activar comité de crisis: seguridad, TI, legal, dirección, comunicación y, si aplica, relaciones públicas.
  3. Evaluar alcance: identificar sistemas cifrados y datos exfiltrados (tipos, volumen, criticidad).
  4. Restaurar con control: activar plan de recuperación desde respaldos verificados, por fases.
  5. Decisión sobre negociación: con asesoría legal, regulatoria y de ciberseguros (si existen pólizas).
  6. Notificación y post-mortem: cumplimiento regulatorio, comunicación transparente y plan de mejoras.

Errores comunes que agravan el impacto

  • No tener respaldos testeados: descubrir en pleno incidente que no se pueden restaurar.
  • Silenciar a seguridad: priorizar “volver a operar rápido” sin entender el alcance del compromiso.
  • Negociar sin asesoría: entregar más información al atacante o incumplir regulaciones sin saberlo.
  • No aprender del incidente: volver a operar con los mismos huecos que permitieron la intrusión.
  • Comunicación confusa: mensajes contradictorios a clientes, proveedores y reguladores.

En DOS.CINCO te ayudamos a prepararte antes de un ataque (backups, segmentación, IR), fortalecer tu capacidad de detección y respuesta y acompañarte en la gestión de crisis ante campañas de ransomware como Medusa, reduciendo impacto operativo, legal y reputacional.

BOLETÍN

Simplificamos lo complejo
de la ciberseguridad

Copyright © 2026 Dos.Cinco, S.A. de C.V. | Diseñado por MX PROTON