Medusa, la operación que deja a sus víctimas 'petrificadas' mediante ataques de ransomware, está teniendo un 2025 bastante movido.
Según un informe de la firma de seguridad Symantec se ha producido un aumento significativo de su actividad al ser operado como un ransomware como servicio.
Un grupo identificado como Spearwing se está sirviendo de él desde 2023 con un incremento constante de sus ataques desde 2023.
Entre 2023 y 2024 los incidentes del ransomware Medusa aumentaron un 42%. La tendencia alcista ha proseguido, con casi el doble de ataques de la operación registrados en enero y febrero de 2025 en comparación con el mismo período de 2024.
Solo en enero y febrero de este año el grupo ha reivindicado más de 40 incursiones.
“Al igual que la mayoría de los operadores de ransomware, Spearwing y sus afiliados llevan a cabo ataques de doble extorsión, robando los datos de las víctimas antes de cifrar las redes para aumentar la presión sobre las víctimas para que paguen un rescate", han detallado los investigadores de Symantec.
“Si las víctimas se niegan a pagar, el grupo amenaza con publicar los datos robados en su sitio de filtraciones de datos”, añaden.
Spearwing habría incluido a casi 400 víctimas en su sitio de filtraciones de datos en los últimos dos años y Symantec cree que es probable que el número real de víctimas sea mucho mayor. Los rescates exigidos por los atacantes que usan el ransomware Medusa se moverían entre los 100.000 y los 15 millones de dólares.
Una Medusa diferente
La caída de actividad de Noberus y LockBit habría dejado un espacio para que el surgimiento de nuevos actores en el ámbito del ransomware. Entre ellos están RansomHub y Qilin. Medusa también podría estar aprovechándose de ese hueco.
“Se trata de un ransomware diferente al antiguo ransomware MedusaLocker, y no se cree que Spearwing tenga ningún vínculo con ese ransomware”, añade la empresa de ciberseguridad.
Spearwing tendría en su foco a grandes organizaciones de varios sectores y persigue fines lucrativos.
Los investigadores creen que la banda y sus afiliados obtienen acceso a las redes de las víctimas principalmente explotando vulnerabilidades sin parches en aplicaciones públicas, en particular servidores Microsoft Exchange. En ocasiones, el grupo ha obtenido acceso a algunas víctimas secuestrando cuentas legítimas.
Por otro lado, los atacantes que usan Medusa suelen servirse de una técnica denominada Bring Your Own Vulnerable Driver (BYOVD) en sus ataques, en la que los atacantes despliegan un controlador vulnerable firmado en la red de destino.