Arrivano notizie poco rassicuranti dagli Stati Uniti in merito ad una minaccia ransomware diffusasi da diversi anni in rete e capace di creare non pochi problemi alle sue vittime. Il nome del malware è Medusa, ed è apparso precisamente nel 2021 e che è stato utilizzato inizialmente dal solo gruppo hacker che lo ha sviluppato per sferrare offensive mirate. Col passare del tempo, invece, Medusa è diventato a tutti gli effetti uno strumento utilizzato su richiesta da diversi hacker, rientrando nel modello RaaS (Ransomware-as-a-Service), ma gli accordi vedono ancora l’obbligo di far seguire le trattative direttamente a quest’ultimi. Il modus operandi è quello della double extortion, ovvero doppia estorsione, secondo il quale prima vengono criptati i dati a chi finisce in trappola e successivamente si inviano minacce di pubblicazione dei dati rubati per invogliare le vittime a pagare il riscatto.
Fatta questa premessa arriviamo a ciò che è accaduto pochi giorni fa, quando il CISA (Cybersecurity & Infrastructure Security Agency), che collabora con le istituzioni statunitensi per la protezione delle infrastrutture, ha diramato una nota congiunta con MS-ISAC (Multi-State Information Sharing and Analysis Center) ed FBI nella quale spiega come ben 300 infrastrutture critiche siano state colpite da Medusa dal 2021 al febbraio 2025. Una quantità smisurata di vittime provenienti dai più svariati settori, ma più principalmente da quelli più strategici come la sanità, la scuola, le aziende manifatturiere, quelle tecnologiche e le assicurazioni.
Oltre a snocciolare questi pochi dati, la nota congiunta spiega anche come le aziende dovranno necessariamente difendersi per evitare problemi legati agli attacchi con il ransomware Medusa. In primis, ci si raccomanda di mitigare le vulnerabilità note presenti nei propri sistemi installando tutti gli aggiornamenti quando disponibili, poi si spiega come la segmentazione delle reti sia d’obbligo per evitare i movimenti laterali all’interno dei propri sistemi, a partire dai dispositivi già colpiti. In ultimo, è necessario porre un filtro di rete bloccando gli IP a livello geografico o semplicemente bloccando quelli da origini non conosciute o poco attendibili.
Per fare qualche esempio della pericolosità, basti pensare che negli Stati Uniti il gruppo Medusa ed il suo ransomware hanno colpito, nel marzo 2023, il distretto scolastico di Minneapolis, con a corredo un video in cui si mostravano i dati trafugati. Restando sempre negli USA, è importante anche ricordare l’attacco ad un’azienda affiliata di Toyota, sempre del 2023, con pubblicazione di dati rubati a seguito del mancato pagamento di otto milioni di dollari di riscatto degli stessi. Negli ultimi due anni, Medusa ha alzato ancora il tiro, aumentando del 42% gli attacchi ed una tendenza ancora al rialzo nel 2025.
Come sappiamo, gli hacker non conoscono confini, quindi i consigli che vengono dati per questo specifico ransomware possono essere utilizzati anche nel nostro paese e sono oltretutto validi anche per altre famiglie. In chiusura, e per rimarcare questo punto, basta citare un’altra nota di FBI e CISA che parlava di un altro ransomware, chiamato Ghost, che ha colpito in più di 70 stati del mondo.
