Sofreu uma violação de dados?
|
Suporte
|
Entre em contato conosco
|
+1 855 426 3983
Blog
/
Contenção de ransomware
Maritza Marie Dubec
Gerente sênior de marketing de conteúdo
Illumio Editorial
4 de abril de 2025
23 minutos. ler

Por que o Medusa Ransomware é uma ameaça crescente à infraestrutura crítica

A Medusa sempre foi algo mais do que um monstro.  

Na mitologia antiga, seu olhar transformava homens em pedra. Durante o Renascimento, ela foi um símbolo da beleza que se tornou mortal. Hoje, ela foi ressignificada como uma figura de transformação — aparecendo na moda, na cultura pop e como símbolo de empoderamento.

Hoje, ela está de volta — não em mármore ou mito, mas em malware. A operação de ransomware como serviço (RaaS) da Medusa, ativa desde junho de 2021, está agora intensificando os ataques contra infraestruturas críticas em todo o mundo. Os setores visados incluem as indústrias médica, educacional, jurídica, de seguros, tecnológica e de manufatura.

Nos dois primeiros meses de 2025, o número de ataques de ransomware Medusa dobrou em comparação com o mesmo período do ano anterior — um aumento acentuado que indica que o Medusa está se intensificando, e não diminuindo.

Diferentes retratos da Medusa ao longo dos anos

No mito, olhar para a Medusa significava morte. Na cibersegurança, deixar de vê-la pode ameaçar a energia, a água, o transporte, os sistemas financeiros e a confiança pública — a infraestrutura que mantém o mundo funcionando.

Uma advertência conjunta da CISA e do FBI

Em fevereiro de 2024, a CISA e o FBI emitiram um alerta conjunto: #StopRansomware: Ransomware Medusa.

Mais de 300 organizações já foram vítimas, incluindo hospitais, instituições financeiras, escolas e serviços governamentais.

As agências aconselharam estas medidas urgentes:

  • Certifique-se de que os sistemas operacionais, o software e o firmware estejam corrigidos e atualizados.
  • Segmente as redes para restringir o movimento lateral.
  • Filtre o tráfego da rede impedindo que origens desconhecidas ou não confiáveis acessem serviços remotos.

Ransomware agora é um risco nacional

O ransomware nem sempre foi tão perigoso. Em 1989, o primeiro ataque de ransomware conhecido — denominado Trojan AIDS — foi distribuído por disquete e exigia o pagamento de US$ 189 por correio.

Hoje, de acordo com o estudo da Illumio sobre o custo global do ransomware:

  • 25% dos sistemas críticos ficam inativos durante um ataque, por uma média de 12 horas.
  • Os pedidos médios de resgate excedem $1,2 milhão.
  • Mesmo após o pagamento, apenas 13% das vítimas recuperam todos os seus dados.
  • A contenção leva mais de 130 horas (cerca de 11 dias) e quase 18 pessoas.

O ransomware não é apenas uma ameaça cibernética. É uma perda de tempo, dinheiro e resiliência. E quando atinge uma infraestrutura crítica, os riscos podem causar ruína financeira, colocar em risco o público e até mesmo desestabilizar governos.  

Por que a infraestrutura crítica está tão exposta

A infraestrutura crítica atrai ransomware por um motivo importante: ela é essencial.

“A infraestrutura crítica é essencial por natureza — se você eliminá-la, o efeito cascata é enorme”, diz Trevor Dearing, diretor de soluções de infraestrutura crítica da Illumio. “A verdadeira ameaça aos serviços essenciais é quando as operações param — quando os sistemas de eletricidade, água ou transporte são desligados. É quando as coisas ficam realmente perigosas.”

De redes elétricas a tubulações, a espinha dorsal da sociedade geralmente funciona com tecnologia desatualizada e imbatível, especialmente sistemas ICS e SCADA legados.

Michael Adjei, diretor de engenharia de sistemas da Illumio para EMEA, concorda.

“Esses sistemas são difíceis de atualizar e fáceis de serem explorados pelos invasores”, diz ele. “Isso os torna alvos ideais para ransomwares como o Medusa.”

Mesmo com o ritmo acelerado da modernização, a segurança geralmente fica para trás no mundo da infraestrutura crítica.

“Os sistemas de controle com fio estão sendo substituídos por Ethernet e Wi-Fi sem considerar totalmente as implicações de segurança”, diz Dearing. “E muitos fabricantes enviam equipamentos com segurança padrão fraca e, em seguida, limitam o que as organizações podem fazer para fortalecê-los.”

Muitas organizações de infraestrutura crítica são de propriedade pública ou dependem de financiamento nacional. Isso significa compras lentas, supervisão complexa e orçamentos limitados. Em outras palavras, é um alvo enorme e pouco defendido.

Quão sério pode ser um ataque a uma infraestrutura crítica?

Em 2023, 11 das 15 vulnerabilidades mais comuns foram exploradas como falhas de dia zero, de acordo com um relatório conjunto da CISA e da NSA. A velocidade e a escala da exploração mostram a rapidez com que os atacantes estão se mobilizando para transformar falhas em armas antes que os defensores possam corrigi-las — especialmente em sistemas críticos. À medida que as táticas de ransomware evoluem, os atacantes podem transformar vulnerabilidades menores em grandes ameaças, com potencial para desestabilizar infraestruturas críticas e interromper serviços essenciais.  

Ransomware criado para a era híbrida

A Medusa não precisa de vulnerabilidades de dia zero ou explorações ruidosas. Ele se move silenciosamente e foi criado para ambientes híbridos, onde os aplicativos em nuvem podem se conectar a data centers locais.

A Medusa evita a detecção usando ferramentas já presentes na sua rede — um processo conhecido como "viver da terra " (LotL, na sigla em inglês). Em vez de instalar novos malwares, ele explora programas e vulnerabilidades já existentes para se misturar às operações normais.

Isso pode incluir:

  • PowerShell
  • Instrumentação de gerenciamento do Windows (WMI)
  • Protocolo de desktop remoto (RDP)
  • ConnectWise ScreenConnect
  • SSH (em sistemas Linux e Unix)  

“Essas ferramentas são permitidas, confiáveis e já têm o acesso que os atacantes desejam”, diz Adjei. “Tem menos a ver com a ferramenta e mais com seu privilégio e alcance.”

Softwares de gerenciamento remoto, como o ScreenConnect ou o SolarWinds, são especialmente atraentes porque são pré-aprovados. Projetado para conectar, monitorar e controlar em grande escala, ele se torna um multiplicador de força nas mãos erradas, oferecendo aos atacantes um alcance imediato entre os sistemas.

E quando o ransomware se comporta como a TI, ele pode não disparar alarmes.

Como diz Adjei: “O ransomware moderno não entra pela porta da frente — ele se mistura como um espião. "

Movimento lateral: como a Medusa se espalha

Os atacantes aterrissam onde é fácil, não onde eles querem estar. Em seguida, eles se movem silenciosamente pela rede, sistema por sistema, até chegarem às joias da coroa.

Existem dois tipos de movimento lateral:

  • ․ Intrínseco ao host: escalonamento de privilégios dentro do sistema (por exemplo, svc-ndscans)
  • Host-extrínsic: movendo-se entre máquinas via RDP ou WinRM

Em um ataque típico da Medusa, os dois tipos funcionam juntos. Primeiro, eles ganham controle dentro de um dispositivo. Em seguida, eles usam esse acesso para se espalhar silenciosamente pela rede.

O processo de movimento lateral

Exfiltração de dados e dupla extorsão  

A Medusa também usa dupla extorsão: criptografar dados e exfiltrá-los — exigindo resgate para recuperação e a promessa de que os dados roubados não serão publicados, vendidos ou vazados on-line ou na dark web.

No estágio final, os invasores localizam e roubam dados confidenciais, enviando-os de volta para seus servidores de comando e controle. Esse tráfego de retorno de chamada pode ser canalizado por meio de portas de comunicação comuns, usando técnicas como registros de texto DNS ou pacotes ICMP — métodos projetados para passar despercebidos pelas defesas tradicionais.

As ferramentas de tunelamento de DNS permitem que os invasores extraiam dados por meio de protocolos confiáveis, como o DNS, dificultando sua detecção.

Não se afaste da Medusa

Para saber mais sobre o escopo, a escala e os riscos das ameaças atuais de ransomware:

Tópicos relacionados

Contenção de ransomware

Artigos relacionados

CCPA e Zero Trust Security para PII: saúde e educação
Contenção de ransomware

CCPA e Zero Trust Security para PII: saúde e educação

Saiba como a microssegmentação e o Zero Trust ajudam instituições de saúde e educação a proteger as PII sob a CCPA, sem rearquitetar sua rede.

Leia mais
Bishop Fox: Testando a eficácia da segmentação Zero Trust contra ransomware
Contenção de ransomware

Bishop Fox: Testando a eficácia da segmentação Zero Trust contra ransomware

Saiba como a Bishop Fox criou uma emulação de ataque de ransomware para testar a eficácia da segmentação Zero Trust.

Leia mais
Como usar a visibilidade baseada em riscos para proteção contra ransomware, conformidade e muito mais
Contenção de ransomware

Como usar a visibilidade baseada em riscos para proteção contra ransomware, conformidade e muito mais

Saiba como identificar os riscos de segurança e obter a visibilidade necessária para proteção contra ransomware, conformidade e muito mais.

Leia mais
Estudo sobre o custo global do ransomware: o que os números nos dizem
Contenção de ransomware

Estudo sobre o custo global do ransomware: o que os números nos dizem

Saiba como os atacantes estão migrando para a disrupção operacional, por que a prevenção não é suficiente e como o Zero Trust e a microssegmentação contêm o impacto do ransomware.

Leia mais
9 razões para usar o Illumio para conter ransomware
Contenção de ransomware

9 razões para usar o Illumio para conter ransomware

Descubra como a visibilidade em tempo real e os controles simples da Illumio reduzirão rapidamente suas maiores fontes de riscos de ransomware, como portas RDP não utilizadas.

Leia mais
Ransomware em 2025: custo, tendências e como reduzir seu risco
Contenção de ransomware

Ransomware em 2025: custo, tendências e como reduzir seu risco

Saiba como os invasores exploram as brechas de segurança, por que o ransomware agora é um modelo de negócios e como a microssegmentação pode impedir que as ameaças apareçam.

Leia mais

Suponha que a violação seja feita.
Minimize o impacto.
Aumente a resiliência.

Pronto para saber mais sobre a segmentação Zero Trust?

Saiba mais