Il ransomware Medusa di recente ha guadagnato rilevanza come una delle minacce informatiche più insidiose e in rapida evoluzione. Questa variante di ransomware è operativa tramite un modello ransomware-as-a-service (RaaS). Permette a gruppi criminali terzi di sfruttare le piattaforme per lanciare attacchi complessi e mirati.
Secondo l’ultimo rapporto condiviso da FBI, Cybersecurity and Infrastructure Security Agency (CISA) e Multi-State Information Sharing and Analysis Center (MS-ISAC), il numero di vittime supera oltre 400 organizzazioni; distribuite in settori critici come sanità, istruzione, legale, assicurazioni, tecnologia e manifattura. Solo nei primi due mesi del 2025, il ransomware ha eseguito oltre 40 attacchi, secondo i dati del Symantec Threat Hunter Team. L’efficacia di Medusa risiede nell’abilità di sfruttare vulnerabilità note come quelle presenti in software come ScreenConnect e Fortinet EMS, unita a sofisticate campagne di phishing, che rimangono un veicolo privilegiato per accedere ai sistemi bersaglio.
Funzionamento del ransomware Medusa
Nato nel 2021 come ransomware “chiuso”, gestito interamente da un singolo gruppo, Medusa ha adottato un modello RaaS nel 2023; ciò ha permesso ai sviluppatori di reclutare affiliati tramite forum criminali, offrendo compensi elevati per accessi iniziali alle reti vittima. Gli affiliati, spesso definiti “broker di accesso iniziale”, utilizzano phishing e vulnerabilità non patchate (come CVE-2024-1709 in ConnectWise ScreenConnect e CVE-2023-48788 in Fortinet) per infiltrarsi.
Una volta dentro, cifrano i dati e applicano una doppia estorsione; ossia, richiedono pagamenti per decriptare i file e per non pubblicare informazioni sensibili. In alcuni casi, è emersa una tripla estorsione; dopo un primo pagamento, la vittima viene ricontattata da un ulteriore affiliato di Medusa. Quest’ultimo afferma che la cifra già pagata è stata sottratta da un altro intermediario e richiede un secondo pagamento, promettendo la consegna del “vero decryptor”.
Questo scenario evidenzia una struttura criminale complessa e ben organizzata, capace di sfruttare al massimo la vulnerabilità delle vittime già sotto pressione. Medusa gestisce centralmente le trattative, mantenendo il controllo su siti .onion dove pubblica countdown per la diffusione dei dati; le vittime possono pagare $10.000 in criptovaluta per posticipare la scadenza di 24 ore.
Caratteristiche tecniche
Medusa impiega tecniche “living off the land” (LOTL) per mimetizzare le attività malevole. Gli aggressori sfruttano strumenti legittimi preesistenti nelle reti, come AnyDesk, RDP e PsExec, per muoversi lateralmente. Utilizzano strumenti di scansione come Advanced IP Scanner e SoftPerfect Network Scanner per enumerare sistemi e utenti. Inoltre, impiegano Mimikatz per estrarre credenziali e Rclone per esfiltrare dati verso server C2.
Prima del ciframento, disattivano servizi critici come backup e antivirus; eliminano copie shadow e applicano estensioni .medusa ai file crittografati con AES-256. Le indagini hanno rilevato l’uso di PDQ Deploy e BigFix per distribuire l’encryptor “gaze.exe”, dimostrando una sofisticata orchestrazione degli attacchi.
La scelta di colpire infrastrutture critiche deriva dalla loro dipendenza da sistemi sempre attivi; ciò aumenta la pressione sulle vittime a pagare rapidamente, mitigando interruzioni prolungate.
Strategie e misure di prevenzione consigliate
Per mitigare efficacemente il rischio legato al ransomware Medusa, diverse agenzie, tra cui CISA, FBI e MS-ISAC, hanno raccomandato precise strategie preventive. Prima fra tutte la tempestiva installazione di aggiornamenti e patch di sicurezza rappresenta una misura fondamentale; essa consente di eliminare rapidamente vulnerabilità conosciute e sfruttate dagli attaccanti.
La segmentazione delle reti rappresenta una seconda misura fondamentale; riduce notevolmente la possibilità di movimenti laterali in seguito a una compromissione iniziale. A questi interventi tecnici si aggiungono raccomandazioni operative più generali. L’autenticazione multifattore (MFA) e password complesse sono essenziali per proteggere account privilegiati. Anche backup offline e crittografati garantiscono il ripristino dei dati da conservare preferibilmente in ambienti isolati e separati (air-gapped).
Oltre ai fattori tecnici, si sottolinea l’importanza critica della sensibilizzazione e della formazione degli utilizzatori finali. L’ingegneria sociale, infatti, resta una delle principali tecniche utilizzate da Medusa per acquisire accesso ai sistemi. Una formazione efficace dovrebbe includere l’identificazione e la gestione di tentativi di phishing e la corretta pratica nella gestione delle credenziali e delle informazioni riservate.
Ransomware Medusa: conclusioni
La diffusione e l’evoluzione del ransomware Medusa segnala chiaramente la necessità di un approccio difensivo proattivo e integrato. Oltre alle misure tecnologiche avanzate e aggiornamenti puntuali dei sistemi, la formazione degli utilizzatori rappresenta un aspetto indispensabile della difesa. L’implementazione di misure preventive multilivello rappresenta pertanto la migliore strategia di difesa contro il ransomware e minacce affini.
