El equipo de seguridad de Microsoft ha publicado un informe en el que advierte que el grupo de ransomware Medusa está transformando sus tácticas, explotando vulnerabilidades recién descubiertas incluso antes de que se hagan públicas. El ritmo de sus ataques es vertiginoso: suelen completar la exfiltración de datos y el despliegue del ransomware en menos de 24 horas tras obtener el acceso inicial.
Ciclos de ataque reducidos a 24 horas
Los investigadores de Microsoft han observado que Medusa es altamente eficiente a la hora de identificar sistemas expuestos a internet. Una vez detectada una vulnerabilidad, el grupo la utiliza de inmediato para infiltrarse y crear nuevas cuentas de usuario, asegurándose así un acceso persistente. Aunque algunos ataques se ejecutan en un solo día, el proceso típico de Medusa suele extenderse entre cinco y seis días, periodo durante el cual dependen en gran medida de herramientas de gestión remota legítimas como ConnectWise ScreenConnect, AnyDesk y SimpleHelp.
En su informe, Microsoft destaca dos casos concretos: la vulnerabilidad CVE-2026-23760 (en SmarterMail) y la CVE-2025-10035 (en GoAnywhere MFT). Los miembros de Medusa comenzaron a explotar estos fallos una semana antes de que fueran divulgados públicamente, lo que subraya la sofisticación de estos atacantes para identificar y convertir vulnerabilidades en armas.
"Este actor de amenazas mantiene un ritmo operativo intensivo y posee una gran habilidad para identificar activos expuestos en el perímetro", señaló Microsoft en su informe. Este tipo de ataques ha afectado gravemente a los sectores de salud, educación, servicios profesionales y finanzas, con víctimas en instituciones de Australia, el Reino Unido y Estados Unidos.
Desde su aparición en 2021, Medusa ha centrado sus esfuerzos en centros sanitarios y gobiernos locales. Recientemente, el grupo se atribuyó ataques devastadores contra el condado de Passaic, en Nueva Jersey, y el Centro Médico de la Universidad de Misisipi (UMMC). Aunque el UMMC logró restaurar sus operaciones por completo el 2 de marzo con la ayuda del FBI y el Departamento de Seguridad Nacional, el incidente generó una gran preocupación.
Los expertos en seguridad sospechan que el grupo opera desde Rusia, basándose en su actividad en foros de habla rusa, el uso de caracteres cirílicos en sus herramientas y su política de evitar objetivos en los países de la Comunidad de Estados Independientes (CEI). Además, investigadores de Symantec han detectado recientemente que el famoso grupo de hackers norcoreano "Lazarus" también ha utilizado el ransomware Medusa en sus operaciones.
Ante este panorama de amenazas cada vez más complejo, Microsoft recomienda a las organizaciones que realicen una auditoría exhaustiva de su huella digital antes de reforzar sus perímetros de red, con el fin de hacer frente a la tendencia de los atacantes a convertir nuevas vulnerabilidades en armas de forma casi instantánea.
