CIÊNCIA & TECNOLOGIA
Ransomware Medusa: como atua e por que desperta preocupação
Entenda as principais características desse ransomware que mira empresas de infraestrutura crítica e já fez vítimas em países latino-americanos
Nos últimos dois anos, o grupo de ransomware Medusa, identificado em junho de 2021, apresentou um crescimento significativo em suas atividades, realizando ataques a diversas empresas ligadas a infraestruturas críticas. A ameaça se tornou tão relevante que, recentemente, o FBI emitiu um comunicado alertando sobre as ações do grupo criminoso.
Mas, afinal, o que é o Medusa e desde quando está em operação? Quais são seus principais alvos? Como atua em seus ataques? E qual a sua relação com outros grupos de ransomware? Neste post, traçamos um panorama completo desse grupo que vem despertando preocupação global e já acumula diversas vítimas em países latino-americanos.
O que é o Ransomware Medusa?
Medusa é um ransomware que atua sob o modelo de negócio conhecido como ransomware como serviço (RaaS, na sigla em inglês). Nos ataques realizados, o grupo adota uma estratégia de dupla extorsão: primeiro, criptografa os dados das vítimas e, em seguida, ameaça divulgá-los publicamente caso o resgate não seja pago.
Por meio de ataques direcionados a diversos setores, como saúde, educação, tecnologia e manufatura, o Medusa evoluiu até se tornar um dos grupos de ransomware mais ativos em 2025. É importante não confundir esse grupo com o Medusa Locker, outra família de ransomware que está em atividade desde 2019.
Atividade do Medusa em 2025
O grupo ganhou notoriedade em 2023 com o lançamento do seu site “Medusa Blog”, hospedado na rede Onion, onde expõe os nomes de suas vítimas como forma de extorsão, ameaçando publicar os dados roubados caso o resgate não seja pago. Desde então, o grupo tem evoluído constantemente e, em março de 2025, figurou entre os 10 grupos de ransomware mais ativos do período, ocupando a 8ª posição, com 67 ataques confirmados, segundo dados divulgados pela DarkFeed em sua conta no X (antigo Twitter).
Esse movimento, naturalmente, não passou despercebido pela comunidade de cibersegurança. O FBI, por meio da sua Agência de Cibersegurança e Segurança de Infraestruturas (CISA, na sigla em inglês), emitiu um alerta sobre a atuação do grupo no contexto da campanha #StopRansomware: “Até fevereiro de 2025, os desenvolvedores e afiliados do Medusa já comprometeram mais de 300 vítimas em diversos setores de infraestrutura crítica, incluindo os setores médico, educacional, jurídico, de seguros, tecnológico e de manufatura.”
Características dos ataques
O grupo Medusa possui dois vetores de acesso inicial preferenciais para invadir os sistemas das empresas: campanhas de phishing, com o objetivo de roubar credenciais, e a exploração de vulnerabilidades em softwares.
A Agência Nacional de Cibersegurança do Chile, por exemplo, compartilhou em março de 2025 um caso em que o grupo explorou a exposição de um RDP (Remote Desktop Protocol) com credenciais fracas para obter acesso ao ambiente, instalar o ransomware e propagá-lo para outros sistemas da rede.
Evasão de EDR e ferramentas antimalware
Em diversos ataques, foi observado que os cibercriminosos por trás do Medusa utilizam o driver malicioso ABYSSWORKER para desativar ferramentas antimalware e também burlar soluções de EDR (Detecção e Resposta em Endpoints).
Após garantir o acesso ao sistema, e com o objetivo de evitar a detecção, os cibercriminosos costumam apagar o histórico de comandos do PowerShell, onde suas ações poderiam ser registradas. Com o uso de técnicas avançadas, como pass the hash, eles conseguem se mover lateralmente dentro da rede sem serem identificados.
O ColCERT (Grupo Interno de Trabalho de Resposta a Emergências Cibernéticas da Colômbia) alertou sobre essas táticas do Medusa, destacando que o grupo “criptografa arquivos críticos, apaga cópias de segurança para impedir a recuperação dos dados e modifica o registro do sistema para garantir sua persistência, dificultando sua detecção e remoção”.
Modelo de dupla extorsão
Este grupo de ransomware deixa uma nota de resgate em um arquivo txt com o nome !!!READ_ME_MEDUSA!!!.txt, além de criptografar os arquivos nos sistemas comprometidos e alterar sua extensão para .MEDUSA. Em seu modus operandi, utiliza um modelo de dupla extorsão, pois as vítimas precisam pagar não apenas para descriptografar os arquivos, mas também para evitar que eles sejam divulgados.
É através de seu site na rede Onion que o Medusa divulga informações sobre suas vítimas, incluindo contagens regressivas para o pagamento das organizações. Nesse espaço, são disponibilizados links para carteiras de criptomoedas vinculadas ao grupo.
O impacto da ameaça na América Latina
Assim como a atividade do ransomware Medusa cresceu nos últimos anos a nível mundial, a América Latina também não está imune aos seus ataques, com alguns casos de destaque.
Em 2023, a partir de uma análise da WeLiveSecurity, investigamos o ataque desse grupo à Comissão Nacional de Valores da Argentina, que resultou na criptografia dos arquivos nos sistemas infectados e no roubo de informações.
Medusa publicou em seu site na dark web detalhes sobre o incidente, com o objetivo de pressionar a Comissão Nacional de Valores (CNV) da Argentina a pagar um resgate de 500 mil dólares em Bitcoin, ameaçando divulgar mais de 1,5 terabytes de informações roubadas. De acordo com a instituição, na época foi possível isolar e controlar o ataque, que havia deixado suas plataformas on-line fora de serviço.
Outro caso ocorreu em fevereiro de 2024, quando o Grupo Bimbo, multinacional mexicana especializada em panificados e uma das maiores do mundo, apareceu na lista de vítimas do grupo. O Medusa assumiu a autoria do ataque e, em seu site, publicou alguns arquivos roubados da empresa como prova.
Na mesma data, uma empresa venezuelana do setor de telecomunicações foi outra de suas vítimas. Neste caso, o Medusa exigiu um pagamento de 5 milhões de dólares, sob a ameaça de tornar públicas listas de funcionários, documentos de identificação, documentos financeiros, relatórios, faturas, contratos, entre outras informações sensíveis.
Esses são apenas alguns exemplos, pois em sua lista de vítimas constam empresas e organizações de outros países latino-americanos, como Brasil, Bolívia, Chile, Colômbia e República Dominicana.
A relação do Medusa com outros grupos de ransomware e o uso de EDR Killers
Uma análise apresentada pela equipe de pesquisa da ESET na América Latina expôs a conexão do Medusa com outros grupos de ransomware, como o ascendente RansomHub, Play e BianLian. Nesse contexto, desempenha um papel-chave uma ferramenta desenvolvida e mantida pelo próprio RansomHub, conhecida como EDRKillShifter, um EDR killer projetado para neutralizar soluções de cibersegurança.
Graças a essa descoberta, a equipe de pesquisa da ESET conseguiu usar essa informação para vincular os afiliados do RansomHub aos diversos grupos concorrentes com os quais também colaboram.
Ao contrário do criptografador do RansomHub, que tende a variar conforme a vítima, no caso do EDRKillShifter, não é necessário gerar uma nova amostra para cada ataque, a menos que haja uma atualização relevante ou seja necessário evitar certas defesas. Essa característica foi crucial para detectar um padrão comum e vincular um mesmo afiliado operando simultaneamente para três grupos distintos (Play, Medusa e BianLian).
Considerações finais
Como vimos, nos últimos dois anos, o Medusa conseguiu se consolidar como um dos grupos de ransomware mais ativos. Devido ao seu modelo de dupla extorsão e ao uso de técnicas avançadas de infiltração e criptografia, ele se tornou uma grande ameaça para empresas ao redor do mundo, especialmente para aquelas relacionadas a infraestruturas críticas.
A alerta recentemente emitida pelo FBI apenas reforça a necessidade das empresas adotarem medidas preventivas robustas e confiáveis. A proteção das infraestruturas críticas e dos dados sensíveis deve ser uma prioridade máxima ao enfrentar essa ameaça, que continua em constante evolução.
