En los últimos dos años, el grupo de ransomware Medusa, identificado en junio 2021, evidenció un crecimiento en su actividad, y ha perpretado ataques a diversas empresas vinculadas a infraestructuras críticas. Al punto que recientemente, el FBI emitió un comunicado alertando sobre su accionar.

¿Qué es y desde cuándo opera? ¿cuáles son sus principales objetivos? ¿de qué manera lleva a cabo sus ataques?, ¿de qué manera se vincula con otros grupos de ransomware? En este post, una radiografía completa del grupo que genera preocupación y ya se anotó varias víctimas en América Latina.

¿Qué es el Ransomware Medusa?

Medusa es un ransomware que trabaja bajo el modelo de negocio conocido como ransomware como servicio, también llamado RaaS.

En sus ataques emplea un modelo de doble extorsión: cifran los datos de las víctimas y luego amenazan con publicarlos si no se paga el rescate pedido.

A través de sus ataques a diversos sectores -como medicina, educación, tecnología y manufactura-, ha evolucionado hasta convertirse en uno de los grupos más activos en lo que va de 2025.

Este grupo de ransomware llamado Medusa no debe confundirse con Medusa Locker, otra familia de ransomware que opera desde 2019.

Actividad de Medusa en 2025

El grupo tomó notoriedad en 2023, gracias al lanzamiento de su sitio “Medusa Blog”, en la Red Onion, donde publica los nombres de sus víctimas para extorsionarlas y amenazarlas con publicar información robada si no pagan. Desde allí, todo fue evolución y durante marzo 2025 estuvo dentro del top 10 de los grupos de ransomware con más actividad, ubicándose en el puesto 8, con 67 ataques confirmados, según el dato compartido por DarkFeed a través de su cuenta de X.

Esto, claro, no pasó desapercibido para el mundo de la ciberseguridad. El FBI, a través e su Agencia de Ciberseguridad y Seguridad de Infraestructuras (CISA, por sus siglas en inglés) alertó sobre la actividad del grupo, en el marco de su campaña #StopRansomware: “Hasta febrero de 2025, los desarrolladores y afiliados de Medusa han afectado a más de 300 víctimas de diversos sectores de infraestructuras críticas, con industrias afectadas como la médica, la educativa, la legal, la de seguros, la tecnológica y la manufacturera”.

medusa-ransomware-2025-alerta-fbi
Alerta publicada por el FBI sobre la actividad del ransomware Medusa.

Características de sus ataques

El grupo Medusa tiene dos puntos de acceso inicial predilectos para ingresar a los sistemas de las empresas: las campañas de phishing, con el objetivo es robar credenciales, y la explotación de vulnerabilidades de software.

La Agencia Nacional de Ciberseguridad de Chile, por ejemplo, compartió un caso en marzo de 2025 en el que Medusa había aprovechado la exposición de un RDP (Remote Desktop Protocol) con credenciales débiles para la intrusión al entorno, la instalación del ransomware y su propagación a otros sistemas de la red.

Evasión de EDR y herramientas antimalware

En varios de sus ataques se observó cómo los actores detrás de Medusa se valen del controlador malicioso ABYSSWORKER para deshabilitar las herramientas antimalware y evadir también las soluciones EDR (Endpoint Detection and Response).

Una vez garantizado el acceso, y para evitar ser detectados, los ciberdelincuentes a menudo eliminan el historial de comandos de PowerShell donde pueden quedar registradas sus acciones dentro del sistema. Gracias a técnicas avanzadas como pass the hash logran moverse lateralmente sin ser descubiertos.

El ColCERT (Grupo Interno de Trabajo de Respuesta a Emergencias Cibernéticas de Colombia) advirtió sobre estas características que Medusa destacando cómo "cifra archivos críticos, elimina copias de seguridad para impedir su recuperación y modifica el registro del sistema para garantizar su persistencia, dificultando su detección y eliminación”.

Doble modelo de extorsión

Este grupo de ransomware deja una nota de rescate mediante un archivo txt bajo el nombre !!!READ_ME_MEDUSA!!!txt , y además cifra los archivos en los equipos comprometidos y cambia su extensión por .MEDUSA. En su modus operandi utiliza un modelo de doble extorsión, ya que víctimas deben realizar el pago no solo para descifrar los archivos, sino también para evitar su divulgación.

Es en su sitio web de la red Onion donde Medusa comparte información sobre sus víctimas y las cuentas regresivas que tiene las organizaciones para realizar el pago. Para ello, pone hipervínculos a billeteras de criptomonedas afiliadas.

Su impacto en América Latina

Así como la actividad del ransomware Medusa creció en los últimos años a nivel mundial, América Latina no queda exenta de sus ataques y hay casos para destacar.

En 2023 desde WeLiveSecurity analizamos el ataque de este grupo de ransomware a la Comisión Nacional de Valores de la Argentina que derivó en el cifrado de los archivos en los equipos infectados y en el robo de información.

medusa-ransomware-comision-nacional-valores-argentina
Publicación del ransomware Medusa en su sitio de la Dark Web.

Medusa había publicado en su sitio de la dark web detalles del incidente, para presionar a la CNV para que pague un rescate de 500 mil dólares en Bitcoin con la amenaza de divulgar más de 1.5 terabytes de información robada. Según había informado la entidad en aquel momento, se logró aislar y controlar el ataque que había dejado fuera de servicio sus plataformas online.

Otro caso se conoció en febrero de 2024 en el que el Grupo Bimbo, multinacional mexicana especializada en panificados y una de las más grandes del mundo, apareció en su lista de víctimas. El grupo se atribuyó el ataque y en su sitio web publicaron algunos archivos robados de la compañía como prueba.

En esa misma fecha, una empresa venezolana del rubro de las telecomunicaciones fue otra de sus víctimas. En este caso, Medusa había exigido el pago de 5 millones de dólares, bajo la amenaza de hacer públicas listas de empleados, documentos de identificación, documentos financieros, informes, facturas, contratos, entre otra información sensible.

Estos son solo algunos casos, ya que en su listado de víctimas figuran nombres de empresas y organizaciones de otros países de la región como Brasil, Bolivia, Chile, Colombia y República Dominicana.

La relación de Medusa con otros grupos de ransomware y el uso de EDR Killers

Un análisis compartido por ESET Research expuso la vinculación de Medusa con otros grupos de ransomware como el ascendente RansomHub, Play y BianLian. En este entramado, tiene un rol clave una herramienta desarrollada y mantenida por el propio RansomHub, conocida como EDRKillShifter, un EDR killer diseñado para neutralizar soluciones de ciberseguridad.

Gracias a este hallazgo, los investigadores de ESET pudieron capitalizar su uso para asociar a los afiliados de RansomHub con los distintos grupos rivales para los que también trabajan.

A diferencia del encriptador de RansomHub, que suele variar según la víctima, en el caso de EDRKillShifter no es necesario generar una nueva muestra para cada ataque, salvo que exista una actualización relevante o para evadir ciertas defensas. Esta característica fue clave para detectar un patrón común y vincular a un mismo afiliado operando simultáneamente para tres bandas distintas (Play, Medusa y BianLian).

Pensamientos finales

Tal como hemos repasado, los últimos dos años le bastaron a Medusa para consolidarse como uno de los grupos de ransomware de mayor actividad. Debido a su modelo de doble extorsión, y la utilización de técnicas avanzadas de infiltración y cifrado, se ha convertido en una gran amenaza para las empresas de todo el mundo, sobre todo para aquellas vinculadas a las infraestructuras críticas.

La alerta emitida recientemente por el FBI no hace más que confirmar la necesidad por parte de las empresas de adoptar medidas preventivas robustas y confiables. La protección de las infraestructuras críticas y de los datos sensibles deben ser una prioridad máxima a la hora de hacer frente a esta amenaza, que continúa en constante evolución.