# Medusa Ransomware Campaign 2025 > [!critical] Campanha do Medusa Ransomware em 2025 — Alerta CISA/FBI para Infraestrutura Crítica > Em março de 2025, a CISA e o FBI emitiram alerta conjunto sobre o Medusa Ransomware (não confundir com o trojan bancário Android Medusa), documentando mais de 300 vítimas em infraestrutura crítica. A campanha de 2025 expandiu significativamente o alcance do grupo, incluindo alvos de saúde, educação e governo. ## Visão Geral A campanha do Medusa Ransomware em 2025 representa a expansão mais significativa do grupo desde o surgimento em 2021. Em março de 2025, a CISA e o FBI públicaram o alerta AA25-071A documentando que o [[medusa-ransomware-payload|Medusa Ransomware]] havia comprometido mais de 300 organizações em setores de infraestrutura crítica, com vítimas em saúde, educação e governo. O Medusa opera como RaaS com afiliados semi-independentes. O vetor de acesso inicial predominante em 2025 foi a exploração de serviços expostos à internet sem autenticação multifator adequada — especialmente VPNs, RDP e aplicações web vulneráveis. O grupo também usa phishing e credenciais compradas de Initial Access Brokers (IABs). Uma característica distintiva da campanha 2025 é o site de negociação do Medusa, que exibe um contador regressivo público para pagamento do resgate e pública dados de vítimas progressivamente para aumentar pressão. O grupo aceita pagamentos de terceiros para remover dados específicos do site — criando modelo de extorsão tripla. > [!latam] Relevância para o Brasil e LATAM > O Medusa Ransomware registrou vítimas na América Latina em 2025, incluindo organizações brasileiras dos setores de [[healthcare|saúde]] e [[government|governo]]. O alerta da CISA/FBI posiciona o grupo como ameaça de alta prioridade para infraestrutura crítica globalmente. No Brasil, hospitais, universidades e órgãos governamentais devem priorizar implementação de MFA em todos os serviços expostos à internet e manutenção de backups offline imutáveis como defesa primária. ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | Initial Access | [[t1190-exploit-public-facing-application\|T1190]] | Exploração de VPNs e aplicações web vulneráveis | | Initial Access | [[t1078-valid-accounts\|T1078]] | Credenciais comprometidas via IABs e phishing | | Impact | [[t1486-data-encrypted-for-impact\|T1486]] | Criptografia com modelo de dupla extorsão | ## Referências - [CISA/FBI - Medusa Ransomware Advisory AA25-071A (2025)](https://www.cisa.gov/news-events/cybersecurity-advisories/aa25-071a) - [The Hacker News - Medusa Ransomware 300 Critical Infrastructure Victims (2025)](https://thehackernews.com/2025/03/medusa-ransomware-made-300-critical.html) - [BleepingComputer - Medusa Ransomware Group (2024)](https://www.bleepingcomputer.com)