Netcrook Logo
👤 SECPULSE
🗓️ 03 Feb 2026   🗂️ Cyber Warfare    

Medasa: l’oscura banda ransomware che stringe la morsa sulle vittime globali

Un nuovo gruppo ransomware si sta facendo un nome sul dark web, lasciandosi dietro una scia di caos cifrato e domande senza risposta.

L’orologio inizia a ticchettare nel momento in cui compare il messaggio: file bloccati, dati esfiltrati e una richiesta di riscatto scandita da minacce di esposizione pubblica. Per aziende e istituzioni colpite dalla gang Medasa, questo incubo è fin troppo reale - e si sta diffondendo rapidamente. Ma chi c’è dietro Medasa e cosa rende i loro attacchi così devastanti?

Fatti rapidi

  • Medasa è un gruppo ransomware di recente emersione attivo sui principali siti di leak del dark web.
  • Il gruppo impiega tattiche di doppia estorsione, minacciando di divulgare dati sensibili se le vittime si rifiutano di pagare.
  • Le vittime di Medasa coprono più settori, tra cui sanità, istruzione e manifattura.
  • Le richieste di riscatto arrivano spesso a milioni, con istruzioni di pagamento tipicamente fornite tramite portali basati su Tor.
  • Il gruppo mostra segni di sofisticazione tecnica, sfruttando malware personalizzato e tecniche avanzate di persistenza.

L’anatomia di un attacco Medasa

Il copione di Medasa è una miscela agghiacciante di abilità tecnica e guerra psicologica. A differenza di alcune crew ransomware opportunistiche, Medasa seleziona con cura i propri bersagli, spesso trascorrendo settimane all’interno di una rete prima di colpire. Secondo i responder agli incidenti, il gruppo sfrutta vulnerabilità non patchate per ottenere un punto d’appoggio, poi usa strumenti amministrativi legittimi per muoversi lateralmente ed elevare i privilegi - riducendo al minimo il rilevamento finché non è troppo tardi.

Una volta radicata, Medasa esfiltra file sensibili - contratti, registri HR, proprietà intellettuale - prima di distribuire il proprio payload ransomware. Alle vittime viene presentato un ultimatum netto: pagare il riscatto o affrontare il doppio rischio di perdita permanente dei dati e umiliazione pubblica sul sito di leak di Medasa, pubblicizzato apertamente su feed di monitoraggio ransomware come Ransomfeed.

Ciò che distingue Medasa è il suo approccio professionalizzato. Il gruppo mantiene una presenza online curata, completa di branding, comunicati stampa e persino un “help desk” per negoziare i termini. Gli analisti di sicurezza notano che il malware di Medasa viene aggiornato di frequente, incorporando funzionalità anti-forensi per ostacolare indagini e sforzi di ripristino. Le segnalazioni indicano che le trattative sul riscatto sono freddamente transazionali, con poco spazio per misericordia o rinvii.

Sebbene le origini di Medasa restino nebulose, le impronte digitali suggeriscono collegamenti con consolidati ambienti criminali informatici dell’Europa orientale. La loro rapida ascesa e le risorse apparentemente disponibili fanno pensare a un’operazione con un sostegno significativo e una notevole profondità tecnica.

Conclusione: la prossima grande minaccia?

Man mano che cresce il numero di vittime di Medasa, cresce anche la sua notorietà. Gli attacchi calcolati del gruppo e le fughe di dati pubbliche sono un duro promemoria: il ransomware non è solo un problema tecnico, ma umano - che sfrutta paura, fiducia e l’onnipresente divario tra vulnerabilità e vigilanza. Per i difensori, Medasa è un campanello d’allarme: nel gioco del gatto e del topo del cybercrimine, i predatori stanno diventando più intelligenti.

WIKICROOK

  • Ransomware: Il ransomware è un software malevolo che cifra o blocca i dati, richiedendo un pagamento alle vittime per ripristinare l’accesso ai propri file o sistemi.
  • Doppia estorsione: La doppia estorsione è una tattica ransomware in cui gli attaccanti sia cifrano i file sia rubano i dati, minacciando di divulgarli se il riscatto non viene pagato.
  • Esfiltrazione: L’esfiltrazione è il trasferimento non autorizzato di dati sensibili dalla rete di una vittima a un sistema esterno controllato dagli attaccanti.
  • Tecniche di persistenza: Le tecniche di persistenza consentono agli attaccanti di mantenere nel tempo un accesso segreto ai sistemi compromessi, sopravvivendo a riavvii e aggiornamenti per continuare le proprie attività malevole.
  • Sito di leak: Un sito di leak è un sito web in cui i criminali informatici pubblicano o minacciano di pubblicare dati rubati per fare pressione sulle vittime affinché paghino un riscatto.
Medasa Ransomware Double Extortion
SECPULSE SECPULSE
SOC Detection Lead
← Back to news