Medusa

O Pulse Urgent Care Center, localizado em Redding, Califórnia, notificou um número não revelado de pacientes sobre um vazamento de dados ocorrido em março de 2025, conforme divulgado pelo procurador-geral da Califórnia. O incidente comprometeu informações pessoais, incluindo números de Seguro Social, números de carteira de motorista, informações médicas e dados de seguro saúde. O grupo de ransomware Medusa reivindicou a responsabilidade pelo ataque, exigindo um resgate de $120.000 para não divulgar os dados roubados. Embora o Pulse Urgent Care tenha reconhecido a atividade suspeita em sua rede em 24 de março de 2025, ainda não está claro como os atacantes conseguiram acessar o sistema. A clínica está oferecendo 12 meses de monitoramento de crédito e proteção contra roubo de identidade para as vítimas afetadas. Em 2025, Medusa foi responsável por 153 ataques de ransomware, afetando mais de 1,6 milhão de registros, com 11 desses ataques direcionados a instituições de saúde. Os ataques de ransomware têm se tornado uma preocupação crescente nos EUA, com 92 incidentes confirmados em 2025, comprometendo mais de 8,8 milhões de registros.

Recentemente, a vila de Mundelein, Illinois, notificou vítimas de uma violação de dados ocorrida em janeiro de 2025, onde informações pessoais sensíveis foram comprometidas. Entre os dados vazados estão números de Seguro Social, informações financeiras, dados médicos e números de identificação emitidos pelo estado, como carteiras de motorista e passaportes. O grupo de ransomware Medusa reivindicou a responsabilidade pelo ataque, alegando ter roubado 118 GB de dados do Distrito de Parques e Recreação de Mundelein. Após a violação, Medusa exigiu um resgate inicial de $400,000, que foi posteriormente reduzido para $250,000. A vila ainda não confirmou a veracidade das alegações do grupo ou se um resgate foi pago. Para mitigar os danos, Mundelein está oferecendo 24 meses de monitoramento de crédito gratuito para as vítimas afetadas. O incidente destaca a crescente ameaça de ataques de ransomware a entidades governamentais, com 69 ataques confirmados nos EUA em 2025, comprometendo dados de aproximadamente 450,000 pessoas.

Em 2025, investigações da ZenSec revelaram uma onda significativa de incidentes de ransomware explorando vulnerabilidades críticas na plataforma SimpleHelp Remote Monitoring and Management (RMM). As falhas, identificadas como CVE-2024-57726, CVE-2024-57727 e CVE-2024-57728, permitiram que atacantes executassem código remotamente e assumissem controle total dos sistemas. Grupos de ransomware como Medusa e DragonForce aproveitaram essas vulnerabilidades para invadir Provedores de Serviços Gerenciados (MSPs) e se propagar para os sistemas de clientes. Apesar de patches estarem disponíveis, muitas organizações atrasaram sua implementação. Os atacantes desativaram ferramentas de segurança, roubaram dados e criptografaram sistemas, evidenciando como a confiança na cadeia de suprimentos pode amplificar o impacto. Medusa utilizou ferramentas como PDQ Deploy e RClone para distribuir payloads e exfiltrar dados, enquanto DragonForce focou na coleta de credenciais e na exfiltração usando Restic. Esses incidentes ressaltam a urgência de uma gestão rigorosa de patches nas dependências da cadeia de suprimentos.

No final de semana, a SimonMed Imaging confirmou que 1.275.669 pessoas foram afetadas por uma violação de dados em janeiro de 2025, atribuída ao grupo de ransomware Medusa, que exigiu um resgate de US$ 1 milhão. Este incidente se torna a segunda maior violação de dados do ano no setor de saúde e a sexta em todos os setores. A SimonMed foi alertada por um de seus fornecedores sobre um incidente de segurança em 27 de janeiro, e, após uma revisão, identificou atividades suspeitas em sua rede no dia seguinte. Os dados comprometidos incluem informações pessoais e médicas, como nomes, endereços, números de registro médico e informações de seguro de saúde. Medusa reivindicou a responsabilidade pelo ataque e listou a SimonMed em seu site, exigindo o resgate. Até agora, 140 ataques confirmados do grupo resultaram na violação de mais de 4,5 milhões de registros, com um foco crescente em organizações de saúde. Em 2025, já foram registrados 65 ataques a provedores de saúde nos EUA, totalizando mais de 7,5 milhões de registros comprometidos. O ataque à SimonMed é o maior até agora, superando outros incidentes significativos no setor de saúde.

A Strategic Retail Partners (SRP) confirmou que notificou um número não revelado de pessoas sobre uma violação de dados ocorrida em fevereiro de 2025, que comprometeu informações pessoais sensíveis, incluindo números de Seguro Social, identificações emitidas pelo estado e informações financeiras. O ataque foi reivindicado pelo grupo de ransomware Medusa, que alegou ter roubado 1,35 TB de dados e exigiu um resgate de 1,2 milhão de dólares. Após uma segunda invasão em março, Medusa exigiu um resgate adicional de 1 milhão de dólares, afirmando que a SRP não havia melhorado sua segurança. A empresa ofereceu 12 meses de monitoramento de crédito gratuito para as vítimas. O ataque à SRP é o primeiro do grupo direcionado a uma empresa de varejo, que já havia atacado outras organizações em setores diversos. A pesquisa da Comparitech registrou 17 ataques confirmados de ransomware a varejistas nos EUA em 2025, comprometendo mais de 110 mil registros. Os ataques de ransomware podem causar interrupções significativas nas operações comerciais, além de expor dados pessoais a riscos de fraude.

A Microsoft identificou um grupo de cibercriminosos, denominado Storm-1175, como responsável pela exploração de uma vulnerabilidade crítica no software Fortra GoAnywhere, que permitiu a implantação do ransomware Medusa. A falha, classificada como CVE-2025-10035, possui um escore CVSS de 10.0 e é um bug de desserialização que pode resultar em injeção de comandos sem necessidade de autenticação. A vulnerabilidade foi corrigida nas versões 7.8.4 e 7.6.3 do software. Desde 11 de setembro de 2025, o grupo tem explorado aplicações expostas ao público para obter acesso inicial, com indícios de exploração ativa desde pelo menos 10 de setembro. A exploração bem-sucedida dessa vulnerabilidade pode permitir que os atacantes realizem descobertas de sistema e usuário, mantenham acesso a longo prazo e implantem ferramentas adicionais para movimentação lateral e malware. A cadeia de ataque inclui a instalação de ferramentas de monitoramento remoto, como SimpleHelp e MeshAgent, e a criação de arquivos .jsp nos diretórios do GoAnywhere MFT. A Microsoft também observou o uso de Rclone para exfiltração de dados em pelo menos um ambiente afetado. A situação levanta preocupações sobre a transparência da Fortra em relação à segurança de seus produtos.