# Medusa Ransomware > Tipo: **malware** · S1244 · [MITRE ATT&CK](https://attack.mitre.org/software/S1244) ## Descrição O [[s1244-medusa-ransomware|Medusa Ransomware]] tem sido utilizado em ataques desde pelo menos 2021, inicialmente como ransomware fechado operado diretamente pelo grupo [[g1051-medusa-ransomware|Medusa Group]] e posteriormente evoluindo para um modelo RaaS. O malware é conhecido por ser empregado em conjunto com técnicas de living off the land (LOLBins) e softwares legítimos de gerenciamento remoto como AnyDesk e ScreenConnect para acesso inicial e movimentação lateral. O Medusa adota dupla extorsão, exfiltrando dados antes da criptografia e ameaçando públicar no site de vazamentos “Medusa Blog” na dark web. O Medusa Ransomware realiza descoberta de shares de rede ([[t1135-network-share-discovery|T1135]]), processos ([[t1057-process-discovery|T1057]]) e serviços de segurança ([[t1518-001-security-software-discovery|T1518.001]]) antes de iniciar a criptografia. Serviços são parados ([[t1489-service-stop|T1489]]) e backups inibidos ([[t1490-inhibit-system-recovery|T1490]]) para maximizar o impacto. O ransomware cria serviços Windows para execução ([[t1543-003-windows-service|T1543.003]]) e usa comunicação inter-processo ([[t1559-inter-process-communication|T1559]]) para coordenação entre componentes. Arquivos de configuração cifrados ([[t1027-013-encryptedencoded-file|T1027.013]]) e jánelas ocultas ([[t1564-003-hidden-window|T1564.003]]) protegem a operação do ransomware durante a execução. O Medusa Ransomware foi identificado em ataques contra organizações brasileiras e latino-americanas nos setores de educação, saúde e governo, explorando credenciais expostas via RDP e VPNs sem MFA. Em março de 2024, a CISA emitiu alerta conjunto sobre o Medusa Ransomware, citando mais de 300 vítimas em setores críticos. ## Técnicas Utilizadas - [[t1135-network-share-discovery|T1135 - Network Share Discovery]] - [[t1518-001-security-software-discovery|T1518.001 - Security Software Discovery]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1679-selective-exclusion|T1679 - Selective Exclusion]] - [[t1007-system-service-discovery|T1007 - System Service Discovery]] - [[t1490-inhibit-system-recovery|T1490 - Inhibit System Recovery]] - [[t1543-003-windows-service|T1543.003 - Windows Service]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1680-local-storage-discovery|T1680 - Local Storage Discovery]] - [[t1489-service-stop|T1489 - Service Stop]] - [[t1106-native-api|T1106 - Native API]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1564-003-hidden-window|T1564.003 - Hidden Window]] - [[t1559-inter-process-communication|T1559 - Inter-Process Commúnication]] ## Grupos que Usam - [[g1051-medusa-ransomware|Medusa Group]] ## Detecção - **[[ds-0029-network-traffic|Network Traffic Flow]]** - Monitorar uso de softwares de acesso remoto legítimos (AnyDesk, ScreenConnect) em horários incomuns ou por usuários não esperados - vetor de acesso inicial preferido do Medusa Ransomware. - **[[ds-0009-process|Process Creation]]** - Detectar execução de `vssadmin delete shadows` e comandos de inibição de recovery em sistemas Windows - ação pré-criptografia padrão do Medusa. - **[[ds-0022-file|File Creation]]** - Alertar para criação massiva de arquivos com extensão `.medusa` ou presença de notas de resgaté (`!!!READ_ME_MEDUSA!!!.txt`) em múltiplos diretórios. ```sigma title: Medusa Ransomware Recovery Inhibition status: stable logsource: category: process_creation product: windows detection: selection: CommandLine|contains: - 'vssadmin delete shadows' - 'wbadmin delete' - 'bcdedit /set recoveryenabled no' condition: selection falsepositives: - Legitimaté backup management operations level: critical tags: - attack.impact - attack.t1490 - code/distill ``` ## Referências - [MITRE ATT&CK - S1244](https://attack.mitre.org/software/S1244) - [CISA - #StopRansomware: Medusa Ransomware](https://www.cisa.gov/news-events/cybersecurity-advisories/aa25-071a)