# Medusa Ransomware > [!high] RaaS de Dupla Extorsão - CISA AA25-071A, 300+ Vítimas em Infraestruturas Críticas > Medusa é um ransomware-as-a-service ativo desde 2021, com aceleração significativa em 2023-2025. Em março de 2025, a CISA emitiu o alerta AA25-071A documentando mais de 300 vítimas em infraestruturas críticas nos EUA. O encriptador principal (gaze.exe) usa AES-256 + RSA-2048, e o grupo prática dupla extorsão com site de vazamento "Medusa Blog". ## Visão Geral Medusa (não confundir com [[medusalocker|MedusaLocker]], um ransomware separado) é um grupo de RaaS identificado em 2021 que se tornou uma das ameaças de ransomware mais prolíficas entre 2023 e 2025. O alerta conjunto CISA/FBI/MS-ISAC AA25-071A, públicado em março de 2025, documentou mais de 300 vítimas em setores críticos incluindo saúde, educação, serviços jurídicos, tecnologia e manufatura. O encriptador principal do Medusa é conhecido como `gaze.exe` - um binário Windows que recebe parâmetros via linha de comando para criptografia seletiva ou em lote de arquivos. O processo de criptografia usa AES-256 para os arquivos e RSA-2048 para proteger as chaves, com a extensão `.medusa` adicionada a todos os arquivos comprometidos. Uma nota de resgate denominada `!!!READ_ME_MEDUSA!!!.txt` é criada em cada diretório afetado. O grupo [[g1051-medusa-ransomware]] opera um modelo de afiliados em que recruta ativamente "initial access brokers" (IABs) - especialistas em comprometimento inicial que vendem acessos a redes corporativas. Os afiliados do Medusa usam amplo conjunto de ferramentas de pós-comprometimento incluindo PDQ Deploy para distribuição do ransomware em lote na rede, [[s1040-rclone|Rclone]] para exfiltração de dados antes da criptografia, e drivers de kernel vulneráveis (BYOVD) para desabilitar soluções de segurança. Para o Brasil, o Medusa representa ameaça real: o grupo atacou organizações de saúde, educação e serviços em múltiplos países da América Latina. O setor de saúde brasileiro - alvo frequente de ransomware - tem perfil exato de vitimologia Medusa: dados de alto valor, pressão temporal para recuperação, e frequentemente infraestrutura desatualizada. ## Encriptador gaze.exe O `gaze.exe` é o componente de criptografia do Medusa, executado via linha de comando com parâmetros específicos: ``` gaze.exe -p <path> -s <size> -k <key_file> ``` **Características técnicas:** - AES-256 em modo CTR para criptografia dos arquivos - RSA-2048 para encapsular a chave AES por vítima - Extensão `.medusa` adicionada (arquivo original + `.medusa`) - `!!!READ_ME_MEDUSA!!!.txt` criado em cada diretório processado - Threads paralelos para maximizar velocidade de criptografia - Sem deleção de cópias shadow por padrão (mas afiliados adicionam este passo) ## Attack Flow Medusa ```mermaid graph TB A["🔓 Acesso Inicial<br/>RDP exposto / VPN CVE<br/>ou compra de acesso IAB"] --> B["🔑 Credenciais<br/>Mimikatz + BloodHound<br/>escalonamento AD"] B --> C["💀 BYOVD<br/>Driver vulnerável<br/>desabilita EDR/AV"] C --> D["📦 PDQ Deploy<br/>Distribui gaze.exe<br/>para rede interna"] D --> E["📤 Rclone<br/>Exfiltração dados<br/>para cloud storage"] E --> F["🔒 gaze.exe<br/>AES-256 + RSA-2048<br/>extensão .medusa"] F --> G["📋 Nota de Resgate<br/>READ_ME_MEDUSA.txt<br/>Medusa Blog leaksite"] G --> H["💸 Dupla Extorsão<br/>Decrypt + não vazar<br/>pagamento cripto"] ``` *Ator: [[g1051-medusa-ransomware]] - Ferramentas: [[s1040-rclone|Rclone]] · PDQ Deploy · [[s0521-bloodhound|BloodHound]]* ## TTPs MITRE ATT&CK | ID | Técnica | Fase | Descrição | |----|---------|------|-----------| | T1486 | Data Encrypted for Impact | Impacto | AES-256 + RSA-2048, extensão .medusa | | T1190 | Exploit Public-Facing App | Acesso Inicial | VPNs e serviços externos comprometidos | | T1078 | Valid Accounts | Acesso Inicial | Credenciais compradas de IABs | | T1562.001 | Disable or Modify Tools | Evasão | BYOVD para desabilitar EDR/AV | | T1070.001 | Clear Windows Event Logs | Evasão | Limpeza de logs antes/depois da criptografia | | T1567.002 | Exfiltration to Cloud Storage | Exfiltração | Rclone para exfiltrar antes de criptografar | | T1068 | Exploitation for Privilege Escalation | Escalonamento | BYOVD - driver vulnerável para SYSTEM | | T1055 | Process Injection | Evasão | Injeção em processos legítimos | ## Timeline Medusa ```mermaid timeline title Medusa Ransomware - Evolução 2021 : Primeiros ataques documentados : Grupo ainda obscuro 2023 : Explosão de atividade : Site de vazamento ativo : 74 vítimas em 2023 2024 : Expansão global : LATAM como alvo : Parcerias com IABs 2025-03 : CISA AA25-071A : 300+ vítimas documentadas : Infraestruturas críticas EUA ``` ## Relevância Brasil e LATAM O [[g1051-medusa-ransomware]] foi identificado atacando organizações na América Latina, com foco em saúde, educação e [[government|governo]]. No Brasil: - **Setor de saúde**: Hospitais universitários, planos de saúde e clínicas com sistemas legados são alvos de alto valor - **Educação**: Universidades com pesquisa sensível e baixa maturidade de segurança - **Regulação**: A [[lgpd|LGPD]] exige notificação imediata de incidentes que comprometam dados pessoais - um ataque Medusa com exfiltração aciona obrigações regulatórias além do dano operacional - **Resgates escalonados**: O Medusa cobra resgates proporcionais ao tamanho da organização, tornando PMEs brasileiras alvos viáveis com demandas de US$25.000 a US$1M ## Detecção e Defesa **Indicadores de comprometimento:** > [!ioc]- IOCs - Medusa Ransomware (TLP:GREEN) > **Extensão de arquivo criptografado:** > `.medusa` adicionado aos arquivos originais > > **Nota de resgate:** > `!!!READ_ME_MEDUSA!!!.txt` em cada diretório > > **Encriptador:** > `gaze.exe` - executável linha de comando > > **Artefatos de log:** > PDQ Deploy activity em múltiplos hosts simultâneos > Driver BYOVD vulnerável instalado como serviço > > **Fonte:** CISA AA25-071A (2025) **Indicadores comportamentais:** - `gaze.exe` executado em múltiplos sistemas em curto intervalo de tempo - PDQ Deploy distribuindo executáveis não relacionados a gestão de TI - Rclone criando grandes transferências para serviços cloud (Mega, pCloud) em horário incomum - Driver de kernel com assinatura expirada ou revogada instalado como serviço **Mitigações prioritárias:** - Aplicar patches de VPN e RDP imediatamente; implementar MFA obrigatório - Regras de bloqueio de driver para BYOVD - lista negra de drivers vulneráveis conhecidos - [[m1030-network-segmentation|Segmentação de rede]] para limitar PDQ Deploy entre segmentos - Backups offline testados - Medusa não garante decriptação mesmo após pagamento - [[m1049-antivirus-antimalware|EDR]] com regras para detecção de Rclone exfiltrando para cloud em lote ## Referências - [1](https://www.cisa.gov/news-events/cybersecurity-advisories/aa25-071a) CISA/FBI/MS-ISAC - StopRansomware: Medusa AA25-071A (2025) - [2](https://www.bleepingcomputer.com/news/security/medusa-ransomware-claims-attack-on-toyota-financial-services/) BleepingComputer - Medusa Ransomware Claims Attacks (2024) - [3](https://malpedia.caad.fkie.fraunhofer.de/details/win.medusa_ransomware) Malpedia - Medusa Ransomware - [4](https://attack.mitre.org/software/S1137/) MITRE ATT&CK - Medusa (ransomware) - [5](https://www.cisa.gov/stopransomware) CISA - StopRansomware Resources