O grupo por trás do ransomware Medusa já atingiu mais de 40 vítimas nos primeiros dois meses de 2025, ampliando sua lista para quase 400 desde sua aparição em janeiro de 2023. Segundo o relatório da equipe Symantec Threat Hunter, os ataques aumentaram 42% entre 2023 e 2024, com resgates exigidos variando entre US$ 100 mil e US$ 15 milhões. A Medusa opera com a tática de dupla extorsão, roubando dados antes de criptografar os sistemas das vítimas. Caso o pagamento não seja realizado, o grupo ameaça divulgar as informações em sua plataforma de vazamentos. Com o declínio de grupos como LockBit e BlackCat, outras operações de ransomware, como RansomHub, Play e Qilin, também estão ganhando espaço, mas a Medusa se destaca pelo aumento expressivo de infecções.

Os ataques são realizados por meio da exploração de vulnerabilidades conhecidas em aplicativos expostos à internet, principalmente o Microsoft Exchange Server. Há indícios de que os criminosos utilizam intermediários para obter acesso inicial a redes de interesse. Após invadir os sistemas, usam softwares de gerenciamento remoto como AnyDesk e MeshAgent para manter o controle e empregam a técnica Bring Your Own Vulnerable Driver (BYOVD) para desativar antivírus com o KillAV, ferramenta anteriormente usada pelo ransomware BlackCat.

Outro elemento característico dos ataques da Medusa é o uso do software PDQ Deploy, que facilita a movimentação lateral dentro das redes infectadas. Além disso, ferramentas como Navicat, RoboCopy e Rclone são utilizadas para exfiltração de dados. As vítimas incluem grandes organizações dos setores de saúde, governo e finanças. Segundo a Symantec, grupos como a Medusa são motivados unicamente pelo lucro, sem considerar ideologias ou princípios morais.