# Medusa Ransomware > [!warning] Resumo Executivo > Operação RaaS rastreada pela Symantec como **Spearwing** (operador-chave: **Frozen Spider**) com mais de 300 vitimas em 45+ paises, conforme advisory conjunto CISA/FBI/MS-ISAC de marco 2025. Cresce 42% ao ano, com quase o dobro de ataques em ján-fev 2025 vs mesmo período 2024. Foco intenso em saúde, educação e infraestrutura critica. Lazarus Group da Coreia do Norte adotou o Medusa em fevereiro 2026 para campanhas de extorsao. ## Visão Geral O **Medusa** e uma operação de Ransomware-as-a-Service ativa desde junho de 2021, rastreada pela Symantec como **Spearwing** (com o operador-chave identificado como **Frozen Spider**). Diferente de muitos grupos RaaS, o Medusa mantem controle centralizado sobre negociacoes de resgaté mesmo utilizando um modelo de afiliados - tornando-o mais coeso operacionalmente. Em **fevereiro de 2025**, um advisory conjunto **CISA/FBI/MS-ISAC** (#StopRansomware: Medusa Ransomware) confirmou mais de **300 vitimas em setores de infraestrutura critica**, incluindo saúde, educação, juridico, seguros, tecnologia e manufatura. Os ataques cresceram **42% entre 2023 e 2024**, com quase o dobro de ocorrências nos dois primeiros meses de 2025 comparados ao mesmo período de 2024. Em **fevereiro de 2026**, a Symantec e Carbon Black revelaram que operadores vinculados ao [[g0032-lazarus-group|Lazarus Group]] (específicamente o subgrupo Stonefly/Andariel) estao usando o Medusa em campanhas de extorsao contra [[healthcare|organizacoes de saúde]] e sem fins lucrativos nos EUA - usando o ransomware como-a-service para financiar operações de espionagem norte-coreanas. Mais de **366 vitimas** acumuladas em operações Medusa. > [!danger] Atencao - Tripla Extorsao > Após pagar o resgaté, uma vitima foi contatada por um segundo ator Medusa alegando que o negociador havia roubado o pagamento, demandando metade do valor novamente para fornecer o "verdadeiro decryptor". O FBI documenta esse esquema como tripla extorsao - pagar nao garante recuperacao. ## Timeline do Grupo ```mermaid timeline title Medusa Ransomware - Evolução Jun 2021 : Primeira identificação : Operação fechada (sem afiliados) : Foco em infraestrutura critica 2022-2023 : Expansao global : Adocao modelo afiliados : Minneapolis Public Schools : Toyota Financial Services 2024 : Crescimento de 42 pct : CISA CVE-2024-1709 explorado : Fortinet EMS CVE-2023-48788 : Mais de 26 pct das demandas acima 1M USD Feb 2025 : Advisory CISA/FBI/MS-ISAC : 300 vitimas confirmadas : Quase dobro de ataques Ján-Fev Feb 2026 : Lazarus Group adota Medusa : Campanhas contra healthcare EUA : 366+ vitimas acumuladas ``` ## Attack Flow - Pipeline de Ataque Medusa ```mermaid graph TB A["🎯 Acesso Inicial<br/>T1566 Phishing + T1078 IAB<br/>ScreenConnect CVE-2024-1709"] --> B["🔍 Reconhecimento<br/>Advanced IP Scanner<br/>SoftPerfect + PowerShell"] B --> C["🔄 Movimentação Lateral<br/>T1021.001 RDP<br/>PsExec + PDQ Deploy"] C --> D["🛡️ Evasão<br/>T1562 BYOVD + KillAV<br/>Desabilita Windows Defender"] D --> E["📤 Exfiltração<br/>T1567 Rclone<br/>Cloud storage externo"] E --> F["💥 Criptografia<br/>T1486 gaze.exe AES-256<br/>Extensao .medusa"] F --> G["🌐 Tripla Extorsao<br/>T1490 Shadow Copy<br/>Medusa Blog countdown"] style A fill:#922b21,color:#fff style B fill:#e67e22,color:#fff style C fill:#d4ac0d,color:#fff style D fill:#1e8449,color:#fff style E fill:#1a5276,color:#fff style F fill:#7b241c,color:#fff style G fill:#6c3483,color:#fff ``` ## TTPs Mapeados (CISA Advisory AA25-071A) ### Acesso Inicial - Campanhas de phishing como método primario de roubo de credenciais ([[t1566-phishing|T1566]]) - Exploração de vulnerabilidades nao corrigidas: ScreenConnect ([[cve-2024-1709|CVE-2024-1709]]), Fortinet EMS ([[cve-2023-48788|CVE-2023-48788]]) ([[t1190-exploit-public-facing-application|T1190]]) - Contas válidas compradas de Initial Access Brokers ([[t1078-valid-accounts|T1078]]) - Forca bruta ([[t1110-brute-force|T1110]]) ### Descoberta e Reconhecimento - Advanced IP Scanner, SoftPerfect Network Scanner para enumeracao - PowerShell e Windows Command Prompt para descoberta de sistema ### Movimentação Lateral e Execução - RDP ([[t1021-001-remote-desktop-protocol|T1021.001]]) e PsExec ([[t1569-002-service-execution|T1569.002]]) - Software legítimo de acesso remoto: AnyDesk, Atera, ConnectWise, eHorus, N-able, PDQ Deploy, PDQ Inventory, SimpleHelp, Splashtop ### Evasão de Defesas - Técnica BYOVD (Bring Your Own Vulnerable Driver) ([[t1562-impair-defenses|T1562]]) - [[edrkillshifter|EDRKillShifter]] e KillAV para desabilitar soluções de endpoint - Desabilitacao do Windows Defender em alvos específicos ### Exfiltração e Impacto - [[s1040-rclone|Rclone]] para exfiltração para cloud storage ([[t1567-exfiltration-over-web-service|T1567]]) - Encriptador `gaze.exe` com AES-256, extensao `.medusa` ([[t1486-data-encrypted-for-impact|T1486]]) - Terminacao de todos os servicos de backup e segurança ([[t1489-service-stop|T1489]]) - Delecao de shadow copies ([[t1490-inhibit-system-recovery|T1490]]) - Exfiltração e ameaça de divulgacao - modelo dupla/tripla extorsao ([[t1657-financial-theft|T1657]]) ## Arsenal Tecnico | Ferramenta | Categoria | Uso | |-----------|-----------|-----| | gaze.exe | Encriptador | AES-256 + RSA-2048; muda extensao para .medusa | | [[edrkillshifter\|EDRKillShifter]] | BYOVD Loader | Carrega drivers vulneraveis para desativar EDR | | KillAV | AV Disabler | Terminacao de antivirus e processos de segurança | | [[s1040-rclone\|Rclone]] | Exfiltração | Transferencia para cloud storage externo | | AnyDesk / ConnectWise | Acesso Remoto | Estabelece persistência misturado com software legitimo | | PDQ Deploy / BigFix | Lateral Movement | Deploy do encriptador em massa na rede | | PsExec | Execução Remota | Execução do payload em hosts remotos | ## Campanhas Notaveis | Campanha | Período | Vitima/Setor | Demanda | |----------|---------|-------------|---------| | Minneapolis Public School District | 2023 | [[education\|Educação]] | Nao divulgada | | Toyota Financial Services | 2023 | [[financial\|Financeiro]] | Nao divulgada | | Healthcare Campaign Wave | 2024-2025 | [[healthcare\|Saúde]] hospitalar | Ate US$ 800K | | Lazarus/Medusa (Symantec) | Nov 2025-Fev 2026 | Saúde + Nonprofit EUA | Media US$ 260K | | Global RaaS Operations | 2026 | 45+ paises, incluindo Brasil | US$ 100K a US$ 15M | ## Modelo de Extorsao - Medusa Blog O Medusa opera um site de vazamento `.onion` (Medusa Blog) com as seguintes caracteristicas: - Vitimas listadas com contagem regressiva para públicacao de dados - Demandas de resgaté com links para carteiras de criptomoeda - Opcao de extensao de prazo por **US$ 10.000/dia** (máximo 10 dias) - Dados oferecidos para venda a terceiros antes do prazo expirar - Contato via Tor live chat ou **Tox** (mensageiro criptografado) dentro de 48 horas ## Relevância para o Brasil e LATAM > [!danger] Ameaça Critica ao Setor de Saúde Brasileiro > O Medusa e uma das operações RaaS mais ativas do planeta e já tem Brasil entre seus paises-alvo documentados. Hospitais e redes de saúde sao alvos primarios - o setor mais visado globalmente pelo grupo. O Brasil esta entre os paises afetados documentados, junto com EUA, Reino Unido, Alemanha, Australia, Canada, India, Franca e Africa do Sul. Para organizacoes brasileiras: - **[[healthcare|Saúde]]**: Risco mais alto - demandas chegam a US$ 800K em ataques hospitalares; impacto em continuidade de cuidados criticos - **[[education|Educação]]**: Universidades e escolas públicas com infraestrutura legada sao alvos frequentes - **[[government|Governo]]**: Orgaos com dados sensiveis e sistemas públicados vulneraveis - A sofisticacao técnica (BYOVD + KillAV + gaze.exe) combinada com modelo RaaS escalavel permite múltiplos afiliados operarem simultaneamente no Brasil A exfiltração via [[s1040-rclone|Rclone]] para cloud storage torna detecção baseada em endpoint insuficiente - requer monitoramento de egress DLP em camada de rede. ## Detecção e Mitigação | Controle | Prioridade | Descrição | |---------|-----------|-----------| | Patching ScreenConnect/Fortinet | CRITICA | CVE-2024-1709 e CVE-2023-48788 - vetores primarios | | MFA em todos os acessos remotos | CRITICA | Phishing e IAB como método principal | | Backups offline e testados | CRITICA | gaze.exe deleta shadow copies antes de encriptar | | Monitoramento de Rclone | ALTA | Detectar exfiltração para cloud storage | | Segmentacao de rede | ALTA | Limitar PsExec / PDQ Deploy para movimentação lateral | | Monitoramento de BYOVD | ALTA | Detectar carregamento de drivers vulneraveis | | Desabilitacao de software remoto nao autorizado | MEDIA | AnyDesk, ConnectWise usados para blending | ## Referências - [1](https://www.ic3.gov/CSA/2025/250312.pdf) CISA/FBI/MS-ISAC - #StopRansomware: Medusa Ransomware Advisory AA25-071A (Marco 2025) - [2](https://attack.mitre.org/groups/G1051/) MITRE ATT&CK - Medusa (G1051) - [3](https://industrialcyber.co/ransomware/lazarus-hackers-adopt-medusa-ransomware-for-extortion-campaigns-targeting-healthcare-and-nonprofits/) Industrial Cyber - Lazarus Group adota Medusa Ransomware (Fev 2026) - [4](https://cyberinsider.com/fbi-medusa-ransomware-has-breached-300-critical-infrastructure-organizations/) Cyber Insider - FBI: Medusa Ransomware Atingiu 300 Organizacoes - [5](https://industrialdefender.com/blog/medusa) Industrial Defender - Medusa Ransomware Joint Advisory - [6](https://cyble.com/threat-actor-profiles/medusa-ransomware-group/) Cyble - Medusa Ransomware Group Profile