La amenaza del ransomware continúa evolucionando, y MedusaLocker se ha consolidado como una de las variantes más activas y destructivas durante 2024 y lo que va del 2025. Recientemente, el Equipo de Respuesta a Emergencias Cibernéticas de Colombia (COLCERT) emitió una alerta crítica por la detección de una nueva variante que pone en riesgo tanto la seguridad como la continuidad operativa de empresas e instituciones públicas.

Esta variante no solo cifra archivos críticos, sino que también elimina copias de seguridad y bloquea las herramientas de recuperación del sistema, dificultando al máximo cualquier intento de restauración sin pagar el rescate.

¿Qué es MedusaLocker?

MedusaLocker es una variante de ransomware activa desde 2019, pero ha tomado fuerza recientemente gracias a la explotación de vulnerabilidades en servicios de escritorio remoto (RDP) y al uso de campañas de phishing como vía principal de entrada. Una vez dentro de un sistema, cifra archivos esenciales y deja instrucciones de pago para el rescate, lo que pone a las organizaciones en una situación crítica.

¿Qué hay de nuevo en esta ola de ataques?

Según el boletín AL-20250301-063 de COLCERT, el malware identificado como bh156.exe realiza las siguientes acciones:

• Elimina automáticamente todas las copias de seguridad del sistema (vssadmin delete shadows /all /quiet).

• Desactiva la recuperación del sistema (bcdedit /set {default} recoveryenabled No).

• Se agrega al registro de Windows para ejecutarse en cada inicio.

• Redirige la ejecución de procesos legítimos hacia el código malicioso.

• Contacta servidores externos para identificar la ubicación geográfica de la víctima y modificar su comportamiento según el país.

• Añade la extensión .MEDUSA a los archivos cifrados.

• Genera archivos de rescate con instrucciones bajo el nombre read_to_decrypt_files.html.

Datos clave del impacto global de MedusaLocker

De acuerdo con análisis recientes de firmas de ciberseguridad como Trend Micro, Sophos y Palo Alto Networks:

• Los ataques con MedusaLocker aumentaron un 35% en 2024.

• El rescate promedio exigido superó los 100.000 dólares estadounidenses.

• El 40% de los ataques se dirigieron a organizaciones del sector salud, seguido por educación (25%) y servicios públicos (15%).

• Se ha identificado movimiento lateral dentro de redes comprometidas, afectando múltiples equipos de manera simultánea.

• En algunos casos, los operadores del ransomware han utilizado la doble extorsión: cifran los archivos y amenazan con filtrar la información si no se paga.

¿Cómo protegerse?

Recomendamos adoptar una postura proactiva frente a este tipo de amenazas. Algunas medidas clave incluyen:

• Actualizar permanentemente todos los sistemas y software de la organización.

• Restringir los accesos remotos a través de VPNs y autenticación multifactor.

• Implementar copias de seguridad periódicas y almacenarlas fuera de línea.

• Capacitar a los colaboradores para identificar correos de phishing y archivos maliciosos.

• Supervisar constantemente la actividad en la red, aplicando soluciones de detección y respuesta ante amenazas (EDR/SIEM).

• Bloquear herramientas administrativas si no son necesarias, ya que son utilizadas por MedusaLocker para ejecutar comandos destructivos.

Indicadores técnicos (IOC) reportados por COLCERT

• Archivo malicioso: bh156.exe

• Hash SHA-256: 4fd9af8db121171c2bc232f4d1bad76ff225bee5f52e88ab178e9966ef8195bc

• Procesos utilizados: cmd.exe, wbadmin.exe, taskkill.exe, conhost.exe

• Archivos de rescate generados: read_to_decrypt_files.html

Conclusión

MedusaLocker representa una amenaza real y sofisticada, que apunta no solo a dañar la infraestructura digital, sino a dificultar cualquier intento de recuperación sin el pago de un rescate. Esta nueva variante evidencia una clara evolución técnica y un enfoque estratégico hacia la máxima disrupción operativa.

En S&T Soluciones y Tecnología estamos comprometidos con la protección digital de nuestros clientes. Si deseas conocer el nivel de exposición de tu empresa ante este tipo de amenazas, contáctanos para realizar una evaluación de riesgo sin costo.

Correo: info@solytec.com.co 

Sitio web: www.solytec.com.co

Fuentes

• COLCERT (2025). Alerta técnica AL-20250301-063 https://www.colcert.gov.co/800/articles-399994_documento_1.pdf

• Trend Micro. Cybersecurity Threat Report 2024

• Sophos. State of Ransomware 2024

• Unit42 – Palo Alto Networks. Ransomware Threat Intelligence

• Coveware. Quarterly Ransom Payment Reports