medusa-hospital-campaign-2025

# Medusa Ransomware - Campanha contra Saúde e Infraestrutura 2025 > [!high] FBI e CISA emitiram advisory conjunto em março de 2025 - 300+ vítimas em setores críticos incluindo saúde, educação e financeiro > O grupo Medusa (rastreado por pesquisadores como Spearwing) ganhou escala significativa em 2025, com advisory conjunto do FBI e CISA emitido em 12 de março de 2025 documentando mais de 300 vítimas desde 2021. Incidentes de alto impacto incluíram a SimonMed Imaging (1,28 milhão de registros de pacientes expostos) e o HCRG Care Group no Reino Unido (resgate de US$ 2 milhões). Em fevereiro de 2026, a Symantec documentou atores norte-coreanos do Lazarus Group implantando o ransomware Medusa contra alvos de saúde nos EUA. ## Visão Geral O [[g1051-medusa-ransomware|Medusa Ransomware]] - não confundir com a botnet MedusaLocker ou o grupo hacktivista Medusa - é uma operação de Ransomware-as-a-Service (RaaS) ativa desde pelo menos junho de 2021, identificada por pesquisadores da Symantec e outros como operada pelo grupo criminoso **Spearwing**. O grupo ganhou notoriedade crescente em 2023 e acelerou sua cadência de ataques em 2024-2025, culminando em um advisory conjunto do FBI/CISA em março de 2025 que documentou mais de 300 vítimas em setores críticos de infraestrutura. O modelo operacional do Medusa segue o padrão de dupla extorsão estabelecido pelo [[operation-maze-2019-2020|Maze Ransomware]] em 2019: exfiltração de dados antes da criptografia, site de vazamento dedicado ("Medusa Blog"), e pressão escalonada de públicação. O grupo é particularmente agressivo na monetização: além do resgate para descriptografia e para não públicar os dados, a Medusa frequentemente oferece "serviços" pagos adicionais, como extensão de prazo (US$ 10.000/dia) ou exclusão de dados antes do prazo. O setor de saúde foi o principal alvo documentado em 2025. A SimonMed Imaging, maior rede de diagnóstico por imagem dos EUA, sofreu exposição de 1,28 milhão de registros de pacientes em janeiro de 2025 com demanda de US$ 1 milhão. O HCRG Care Group, provedor de saúde do Reino Unido com 500 locais de atendimento, sofreu ataque em fevereiro de 2025 com demanda de US$ 2 milhões - dados de funcionários e pacientes foram públicados quando o resgate não foi pago. Em fevereiro de 2026, pesquisadores da Symantec/Carbon Black documentaram uma conexão alarmante: atores norte-coreanos do [[g0032-lazarus-group|Lazarus Group]] foram identificados implantando o ransomware Medusa contra alvos de saúde nos EUA usando ferramentas exclusivas do grupo (Comebacker, Blindingcan e ChromeStealer) como parte de uma aparente campanha de geração de receita para o regime. Este desenvolvimento sinaliza que a infraestrutura do Medusa RaaS pode ter sido acessada ou infiltrada por atores estatais. ## Attack Flow ```mermaid graph TB A["Acesso Inicial Phishing ou exploit de VPN/serviço exposto"] --> B["Reconhecimento interno AD, shares, backups dados de alto valor"] B --> C["Movimento lateral PsExec, WMI, RDP escalonamento de privilégios"] C --> D["Exfiltração de dados rclone para cloud semanas de dwell time"] D --> E["Desabilitação de defesas AV/EDR + backups parada de serviços críticos"] E --> F["Deploy Medusa criptografia simultânea via GPO ou PsExec"] F --> G["Dupla extorsão Medusa Blog com contador de prazo"] ``` ```mermaid graph TB A["Spearwing opera Medusa RaaS 2021-"] --> B["Afiliados recrutados split 70-80% afiliado 20-30% operadores"] B --> C["300+ vítimas 2021-2025 healthcare education tech financial manufacturing"] C --> D["2025: Advisory FBI/CISA 12 mar 2025 AA25-071A"] D --> E["Fev 2026: Conexão Lazarus Symantec documenta NK usando Medusa vs saúde EUA"] ``` ## Cronologia | Data | Evento | |------|--------| | 2021-06 | Medusa ransomware identificado pela primeira vez em campanha limitada | | 2023-01 | Escalonamento significativo de ataques - "Medusa Blog" lançado como plataforma de vazamento | | 2024-01 | Kansas City Area Transportation Authority comprometida - dados públicados | | 2025-01 | SimonMed Imaging - 1,28 milhão de registros de pacientes; US$ 1M de resgate | | 2025-02 | HCRG Care Group (UK) - 500 locais afetados; US$ 2M de resgate; dados públicados | | 2025-03-12 | FBI/CISA emitem Advisory AA25-071A - 300+ vítimas documentadas | | 2025-03 | Minneapolis Public Schools - segundo vazamento confirmado de dados educacionais | | 2026-02 | Symantec/Carbon Black documenta Lazarus Group implantando Medusa contra saúde nos EUA | ## TTPs Utilizadas | Técnica | ID | Descrição | |---------|-----|-----------| | Spearphishing Attachment | [[t1566-001-spearphishing-attachment\|T1566.001]] | E-mails com documentos maliciosos; vetor alternativo a exploits | | Exploit Public-Facing Application | [[t1190-exploit-public-facing-application\|T1190]] | Exploração de VPNs, servidores de e-mail e aplicações web expostas | | Valid Accounts | [[t1078-valid-accounts\|T1078]] | Credenciais obtidas via phishing ou compra em marketplaces underground | | Transfer Data to Cloud Account | [[t1537-transfer-data-to-cloud-account\|T1537]] | rclone para exfiltração em massa para cloud storage | | Service Stop | [[t1489-service-stop\|T1489]] | Desabilitação de antivírus, EDR e serviços de backup antes do ransomware | | Data Encrypted for Impact | [[t1486-data-encrypted-for-impact\|T1486]] | Criptografia via GPO para cobertura máxima de rede | ## Impacto Documentado **Vítimas de alto perfil:** - **SimonMed Imaging** (jan 2025) - maior rede de diagnóstico por imagem dos EUA; 1,28 milhão de registros de pacientes; US$ 1 milhão de resgate demandado - **HCRG Care Group** (fev 2025) - provedor de saúde UK com 500 locais; US$ 2 milhões de resgate; dados de pacientes e funcionários públicados após recusa de pagamento - **Minneapolis Public Schools** (2025) - segundo incidente confirmado com dados de estudantes expostos - **Kansas City Area Transportation Authority** (2024) - infraestrutura de transporte urbano comprometida **Escala global:** - 300+ vítimas documentadas desde 2021 (Advisory FBI/CISA março 2025) - Setores afetados: saúde, educação, tecnologia, financeiro, manufatura, serviços legais e seguros - Operação ativa em múltiplos continentes com concentração nos EUA, Reino Unido e Europa Ocidental **Conexão Lazarus Group (fevereiro 2026):** - Symantec/Carbon Black identificou atores norte-coreanos usando infraestrutura Medusa - Ferramentas exclusivas do Lazarus (Comebacker loader, Blindingcan backdoor, ChromeStealer) usadas antes do deploy do ransomware Medusa - Padrão consistente com monetização de operações de espionagem via ransomware - modelo documentado pelo Lazarus desde 2019 - Alvo principal: organizações de saúde sem fins lucrativos nos EUA ## Conexão Lazarus Group - Análise de Atribuição O episódio de fevereiro de 2026 merece análise separada dado o impacto estratégico. O [[g0032-lazarus-group|Lazarus Group]] tem histórico documentado de uso oportunístico de ransomware para geração de receita - o grupo foi pioneiro nesta prática com o WannaCry em 2017 e o desenvolvimento do Ryuk via afiliados. A hipótese mais provável dos analistas Symantec é que atores norte-coreanos obtiveram acesso ao builder ou às credenciais de afiliado do Medusa RaaS, permitindo o uso da plataforma sem envolvimento direto do grupo Spearwing. Este padrão - estados nacionais "alugando" infraestrutura criminosa - é crescentemente documentado e representa um desafio para atribuição convencional. A implicação prática: organizações de saúde nos EUA enfrentam simultaneamente o grupo Spearwing como ameaça criminosa financeira e potencialmente atores norte-coreanos usando a mesma infraestrutura com motivações de espionagem e extorsão combinadas. ## Relevância LATAM e Brasil O Medusa não tem impacto operacional direto documentado no Brasil ou na América Latina até o momento. No entanto, o caso tem relevância estratégica crescente: - **Setor de saúde como alvo prioritário**: O padrão global de ransomware migrando para saúde é diretamente relevante para hospitais brasileiros públicos e privados, que historicamente têm menor maturidade de segurança e dados de pacientes de alto valor - **Modelo RaaS acessível**: A estrutura de afiliados do Medusa abaixa a barreira de entrada para grupos com menos capacidade técnica - afiliados brasileiros de ransomware poderiam adotar o Medusa assim como adotaram LockBit e outros - **Conexão Lazarus + saúde**: A ligação documentada entre Lazarus Group e ataques a saúde reforça a necessidade do [[government|governo brasileiro]] e do setor de saúde considerarem ameaças de espionagem combinada com ransomware - **Precedente regulatório LGPD**: O incidente SimonMed (1,28M pacientes) tipo seria notificável à [[anpd|ANPD]] no Brasil - o impacto regulatório de um incidente similar em hospital brasileiro seria significativo ## Mitigação **Controles prioritários para saúde:** - Implementar MFA em todos os sistemas de acesso remoto (VPN, RDP, portais clínicos) - Segmentar redes clínicas de redes administrativas - sistemas de diagnóstico em VLAN isolada - Backup offline e imutável de registros de pacientes, separado da rede principal - Monitorar exfiltração via rclone - ferramenta frequentemente usada antes do deploy do ransomware **Controles estratégicos:** - Aplicar [[m1032-multi-factor-authentication|M1032]] - MFA em RDP, VPN e portais web de saúde - Implementar [[m1049-antivirus-antimalware|M1049]] - EDR com detecção comportamental em sistemas clínicos - Usar [[m1053-data-backup|M1053]] - backups offline testados periodicamente para dados críticos de pacientes - Monitorar via [[ds-0017-command|DS-0017]] - execução de comandos administrativos fora do horário normal **Para organizações de saúde brasileiras:** - Aderir ao framework de cibersegurança da ANPD para dados sensíveis de saúde - Implementar plano de resposta a incidentes específico para ransomware com protocolos de notificação ANPD - Realizar exercícios de tabletop simulando cenário de ransomware com impacto em sistemas críticos de diagnóstico ## Referências - [1](https://www.cisa.gov/news-events/cybersecurity-advisories/aa25-071a) CISA/FBI - Advisory AA25-071A: Medusa Ransomware (março 2025) - [2](https://www.bleepingcomputer.com/news/security/fbi-cisa-warns-of-medusa-ransomware-gang-targeting-300-organizations/) BleepingComputer - FBI/CISA Warn of Medusa Targeting 300+ Organizations (2025) - [3](https://www.bleepingcomputer.com/news/security/medusa-ransomware-claims-attack-on-simionmed-imaging/) BleepingComputer - Medusa Claims Attack on SimonMed Imaging (2025) - [4](https://www.bleepingcomputer.com/news/security/hcrg-care-group-confirms-data-breach-after-medusa-ransomware-claims-attack/) BleepingComputer - HCRG Care Group Confirms Data Breach (2025) - [5](https://symantec-enterprise-blogs.security.com/threat-intelligence/lazarus-medusa-ransomware) Symantec - North Korean Actors Deploy Medusa Against US Healthcare (2026) - [6](https://attack.mitre.org/groups/G1044/) MITRE ATT&CK - Spearwing (Medusa Ransomware Group) (2024)