Medusa

Um grupo de cibercriminosos baseado na China, conhecido como Storm-1175, tem sido associado ao uso de vulnerabilidades zero-day e N-day para realizar ataques rápidos em sistemas expostos à internet. De acordo com a equipe de Inteligência de Ameaças da Microsoft, esses ataques têm impactado severamente organizações de saúde, educação, serviços profissionais e finanças na Austrália, Reino Unido e Estados Unidos. O grupo utiliza uma combinação de exploits, incluindo o OWASSRF, para obter acesso inicial e, após comprometer os sistemas, rapidamente exfiltra dados e implanta o ransomware Medusa. Desde 2023, Storm-1175 explorou mais de 16 vulnerabilidades conhecidas, algumas das quais foram utilizadas como zero-days antes de serem divulgadas publicamente. As táticas observadas incluem o uso de ferramentas legítimas para movimentação lateral e a modificação de políticas do Windows Firewall para facilitar a entrega de cargas maliciosas. A crescente utilização de ferramentas de gerenciamento remoto (RMM) por esses atacantes levanta preocupações sobre a segurança das infraestruturas de TI, pois permite que o tráfego malicioso se misture ao tráfego legítimo, dificultando a detecção.

A Microsoft alertou sobre o grupo cibercriminoso Storm-1175, baseado na China, que tem se destacado por ataques rápidos e eficazes utilizando ransomware Medusa. Este grupo é conhecido por explorar vulnerabilidades de dia zero e dia n, conseguindo acesso às redes de suas vítimas em um curto espaço de tempo, frequentemente em menos de 24 horas após a descoberta das falhas. Recentemente, suas ações impactaram severamente setores críticos, como saúde, educação e finanças, em países como Austrália, Reino Unido e Estados Unidos.

O grupo cibercriminoso Medusa reivindicou um ataque de malware ao Condado de Passaic, em Nova Jersey, ocorrido em março de 2026. Em um comunicado, as autoridades do condado informaram que o ataque afetou seus sistemas de TI e linhas telefônicas. Medusa exigiu um resgate de $800.000, com prazo até o final do mês, e publicou imagens de documentos que alegam ter sido roubados dos servidores do governo local. Embora o Condado de Passaic tenha reconhecido a ocorrência de um incidente de segurança, não confirmou a responsabilidade do grupo. A investigação está em andamento para determinar a natureza e a extensão do acesso não autorizado aos dados. Medusa, que opera um esquema de ransomware como serviço, já reivindicou outros ataques em 2026, incluindo instituições educacionais e governamentais. Os ataques de ransomware a entidades governamentais nos EUA têm se tornado mais frequentes, resultando em riscos significativos, como perda de dados e interrupção de serviços essenciais. O Condado de Passaic abriga cerca de 524.000 pessoas e está localizado na área metropolitana de Nova York.

O grupo de ransomware Medusa reivindicou a responsabilidade pelo ataque cibernético ao Centro Médico da Universidade do Mississippi (UMMC), ocorrido entre 19 de fevereiro e 2 de março de 2026. O ataque resultou no fechamento das clínicas e no cancelamento de consultas, afetando gravemente o atendimento ao paciente, que teve que ser realizado com registros manuais e em centros de comando improvisados. A UMMC perdeu acesso a linhas telefônicas, e-mails e registros de pacientes, levando à transferência de alguns pacientes para outras instituições. Medusa exigiu um resgate de $800.000 em troca da restauração dos sistemas e da não divulgação de dados supostamente roubados, que foram demonstrados em seu site de vazamento de dados. Embora a UMMC tenha retomado suas operações normais após nove dias, a extensão dos dados comprometidos e se o resgate foi pago permanecem desconhecidos. O grupo Medusa, ativo desde 2019, já realizou 154 ataques confirmados, sendo 33 direcionados a prestadores de serviços de saúde, comprometendo cerca de 3,7 milhões de registros pessoais. Os ataques de ransomware a instituições de saúde nos EUA têm se tornado cada vez mais frequentes e disruptivos, colocando em risco a segurança e a privacidade dos pacientes.

A Insightin Health, uma agência de marketing na área da saúde, confirmou um vazamento de dados que afetou 142.727 pessoas em setembro de 2025. Os dados comprometidos incluem informações sensíveis como datas de nascimento, IDs de seguro de saúde e números de contratos. O ataque foi atribuído ao grupo cibercriminoso Medusa, que explorou uma vulnerabilidade em um aplicativo de terceiros para acessar os dados. Medusa exigiu um resgate de US$ 500.000 pela recuperação de 378 GB de dados roubados e listou a Insightin em seu site de vazamento. Embora a Insightin tenha notificado os afetados e oferecido serviços gratuitos de monitoramento de crédito, não está claro se a empresa pagou o resgate ou como a violação ocorreu. Este incidente é um dos maiores vazamentos no setor de saúde dos EUA, destacando a crescente ameaça de ataques de ransomware a empresas que lidam com dados pessoais. A Insightin Health, localizada em Baltimore, MD, é um exemplo de como o setor de saúde se tornou um alvo preferencial para hackers devido à quantidade de dados sensíveis que gerencia.

Hackers apoiados pelo Estado norte-coreano, associados ao grupo de ameaças Lazarus, estão atacando organizações de saúde nos Estados Unidos com extorsões utilizando o ransomware Medusa. Desde sua emergência em janeiro de 2021, o Medusa, que opera como um serviço de ransomware (RaaS), afetou mais de 300 organizações em setores críticos, com a gangue reivindicando pelo menos 80 novas vítimas até fevereiro de 2025. A Symantec, empresa de cibersegurança, relatou que um subgrupo do Lazarus, possivelmente Andariel/Stonefly, está agora utilizando o Medusa em ataques cibernéticos motivados financeiramente. Os ataques têm como alvo não apenas instituições de saúde, mas também organizações sem fins lucrativos, com um dos alvos sendo uma instituição educacional para crianças autistas. O valor do resgate pode chegar a 15 milhões de dólares, embora a média seja de cerca de 260 mil dólares. Os fundos obtidos são utilizados para apoiar operações de espionagem contra entidades nos setores de defesa, tecnologia e governo dos EUA, Taiwan e Coreia do Sul. A Symantec também forneceu indicadores de comprometimento (IoCs) que incluem dados de infraestrutura de rede e hashes do malware utilizado nos ataques.

A Jefferson Blount St. Claire Mental Health Authority, localizada em Birmingham, Alabama, notificou 30.434 pessoas sobre um vazamento de dados ocorrido em novembro de 2025. O incidente comprometeu informações pessoais sensíveis, incluindo números de Seguro Social, dados de seguros de saúde, datas de nascimento e informações médicas, como registros de pacientes e prescrições. O grupo de ransomware Medusa reivindicou a responsabilidade pelo ataque, exigindo um resgate de $200.000 para não divulgar 168,6 GB de dados roubados. A investigação revelou que o acesso não autorizado ocorreu em 25 de novembro de 2025, mas a JBS não confirmou se pagou o resgate ou como a violação ocorreu. O ataque destaca a vulnerabilidade do setor de saúde a ataques cibernéticos, com mais de 8,9 milhões de pessoas afetadas por incidentes semelhantes em 2025. A falta de medidas de proteção, como monitoramento de crédito para as vítimas, levanta preocupações sobre a segurança dos dados e a privacidade dos pacientes.

O Colégio Comunitário de Clackamas, localizado em Oregon, confirmou que notificou 33.381 pessoas sobre uma violação de dados ocorrida em outubro de 2025. A violação comprometeu informações pessoais sensíveis, incluindo números de Seguro Social, registros de estudantes, números de identificação do governo, informações médicas e financeiras. Este é o segundo ataque de ransomware que a instituição enfrenta em dois anos, sendo que o grupo criminoso Medusa reivindicou a responsabilidade pelo ataque mais recente, exigindo um resgate de $300.000 por 1,2 terabytes de dados. A escola não confirmou se pagou o resgate e está oferecendo um ano de monitoramento de crédito gratuito para as vítimas. A investigação forense revelou que um terceiro não autorizado acessou um número limitado de sistemas e adquiriu arquivos em 24 de outubro de 2025. O grupo Medusa, ativo desde 2019, já foi responsável por 154 ataques de ransomware em 2025, afetando mais de 1,7 milhão de registros. O ataque ao Colégio Comunitário de Clackamas é parte de uma tendência crescente de ataques a instituições educacionais nos EUA, que registraram 49 ataques confirmados em 2025, comprometendo mais de 3,8 milhões de registros.

O Pulse Urgent Care Center, localizado em Redding, Califórnia, notificou um número não revelado de pacientes sobre um vazamento de dados ocorrido em março de 2025, conforme divulgado pelo procurador-geral da Califórnia. O incidente comprometeu informações pessoais, incluindo números de Seguro Social, números de carteira de motorista, informações médicas e dados de seguro saúde. O grupo de ransomware Medusa reivindicou a responsabilidade pelo ataque, exigindo um resgate de $120.000 para não divulgar os dados roubados. Embora o Pulse Urgent Care tenha reconhecido a atividade suspeita em sua rede em 24 de março de 2025, ainda não está claro como os atacantes conseguiram acessar o sistema. A clínica está oferecendo 12 meses de monitoramento de crédito e proteção contra roubo de identidade para as vítimas afetadas. Em 2025, Medusa foi responsável por 153 ataques de ransomware, afetando mais de 1,6 milhão de registros, com 11 desses ataques direcionados a instituições de saúde. Os ataques de ransomware têm se tornado uma preocupação crescente nos EUA, com 92 incidentes confirmados em 2025, comprometendo mais de 8,8 milhões de registros.

Recentemente, a vila de Mundelein, Illinois, notificou vítimas de uma violação de dados ocorrida em janeiro de 2025, onde informações pessoais sensíveis foram comprometidas. Entre os dados vazados estão números de Seguro Social, informações financeiras, dados médicos e números de identificação emitidos pelo estado, como carteiras de motorista e passaportes. O grupo de ransomware Medusa reivindicou a responsabilidade pelo ataque, alegando ter roubado 118 GB de dados do Distrito de Parques e Recreação de Mundelein. Após a violação, Medusa exigiu um resgate inicial de $400,000, que foi posteriormente reduzido para $250,000. A vila ainda não confirmou a veracidade das alegações do grupo ou se um resgate foi pago. Para mitigar os danos, Mundelein está oferecendo 24 meses de monitoramento de crédito gratuito para as vítimas afetadas. O incidente destaca a crescente ameaça de ataques de ransomware a entidades governamentais, com 69 ataques confirmados nos EUA em 2025, comprometendo dados de aproximadamente 450,000 pessoas.

Em 2025, investigações da ZenSec revelaram uma onda significativa de incidentes de ransomware explorando vulnerabilidades críticas na plataforma SimpleHelp Remote Monitoring and Management (RMM). As falhas, identificadas como CVE-2024-57726, CVE-2024-57727 e CVE-2024-57728, permitiram que atacantes executassem código remotamente e assumissem controle total dos sistemas. Grupos de ransomware como Medusa e DragonForce aproveitaram essas vulnerabilidades para invadir Provedores de Serviços Gerenciados (MSPs) e se propagar para os sistemas de clientes. Apesar de patches estarem disponíveis, muitas organizações atrasaram sua implementação. Os atacantes desativaram ferramentas de segurança, roubaram dados e criptografaram sistemas, evidenciando como a confiança na cadeia de suprimentos pode amplificar o impacto. Medusa utilizou ferramentas como PDQ Deploy e RClone para distribuir payloads e exfiltrar dados, enquanto DragonForce focou na coleta de credenciais e na exfiltração usando Restic. Esses incidentes ressaltam a urgência de uma gestão rigorosa de patches nas dependências da cadeia de suprimentos.

No final de semana, a SimonMed Imaging confirmou que 1.275.669 pessoas foram afetadas por uma violação de dados em janeiro de 2025, atribuída ao grupo de ransomware Medusa, que exigiu um resgate de US$ 1 milhão. Este incidente se torna a segunda maior violação de dados do ano no setor de saúde e a sexta em todos os setores. A SimonMed foi alertada por um de seus fornecedores sobre um incidente de segurança em 27 de janeiro, e, após uma revisão, identificou atividades suspeitas em sua rede no dia seguinte. Os dados comprometidos incluem informações pessoais e médicas, como nomes, endereços, números de registro médico e informações de seguro de saúde. Medusa reivindicou a responsabilidade pelo ataque e listou a SimonMed em seu site, exigindo o resgate. Até agora, 140 ataques confirmados do grupo resultaram na violação de mais de 4,5 milhões de registros, com um foco crescente em organizações de saúde. Em 2025, já foram registrados 65 ataques a provedores de saúde nos EUA, totalizando mais de 7,5 milhões de registros comprometidos. O ataque à SimonMed é o maior até agora, superando outros incidentes significativos no setor de saúde.

A Strategic Retail Partners (SRP) confirmou que notificou um número não revelado de pessoas sobre uma violação de dados ocorrida em fevereiro de 2025, que comprometeu informações pessoais sensíveis, incluindo números de Seguro Social, identificações emitidas pelo estado e informações financeiras. O ataque foi reivindicado pelo grupo de ransomware Medusa, que alegou ter roubado 1,35 TB de dados e exigiu um resgate de 1,2 milhão de dólares. Após uma segunda invasão em março, Medusa exigiu um resgate adicional de 1 milhão de dólares, afirmando que a SRP não havia melhorado sua segurança. A empresa ofereceu 12 meses de monitoramento de crédito gratuito para as vítimas. O ataque à SRP é o primeiro do grupo direcionado a uma empresa de varejo, que já havia atacado outras organizações em setores diversos. A pesquisa da Comparitech registrou 17 ataques confirmados de ransomware a varejistas nos EUA em 2025, comprometendo mais de 110 mil registros. Os ataques de ransomware podem causar interrupções significativas nas operações comerciais, além de expor dados pessoais a riscos de fraude.

A Microsoft identificou um grupo de cibercriminosos, denominado Storm-1175, como responsável pela exploração de uma vulnerabilidade crítica no software Fortra GoAnywhere, que permitiu a implantação do ransomware Medusa. A falha, classificada como CVE-2025-10035, possui um escore CVSS de 10.0 e é um bug de desserialização que pode resultar em injeção de comandos sem necessidade de autenticação. A vulnerabilidade foi corrigida nas versões 7.8.4 e 7.6.3 do software. Desde 11 de setembro de 2025, o grupo tem explorado aplicações expostas ao público para obter acesso inicial, com indícios de exploração ativa desde pelo menos 10 de setembro. A exploração bem-sucedida dessa vulnerabilidade pode permitir que os atacantes realizem descobertas de sistema e usuário, mantenham acesso a longo prazo e implantem ferramentas adicionais para movimentação lateral e malware. A cadeia de ataque inclui a instalação de ferramentas de monitoramento remoto, como SimpleHelp e MeshAgent, e a criação de arquivos .jsp nos diretórios do GoAnywhere MFT. A Microsoft também observou o uso de Rclone para exfiltração de dados em pelo menos um ambiente afetado. A situação levanta preocupações sobre a transparência da Fortra em relação à segurança de seus produtos.