Tres jóvenes identificados como "especialistas en informatica", fueron detenidos bajo sospecha de crear, usar y distribuir el malware Meduza, un programa de robo de información. Esta banda lleva dos años distribuyendo este malware como servicio en foros de hackers ilegales. 

Según el informe de HudsonRock, Meduza es una potente herramienta para el robo de credenciales que se especializa en extraer datos de inicio de sesión, información de monederos de criptomonedas y otra información confidencial de sistemas Windows infectados. 

Se sospecha que el grupo vulneró una institución gubernamental en Astracán, Rusia, a principios de este año, copiando datos oficiales protegidos, lo que sirvió como detonante clave para la investigación. Los tres detenidos se enfrentan ahora a cargos penales. Las autoridades siguen investigando para identificar posibles cómplices y delitos. 

El programa Meduza es compatible con casi todos los navegadores web, incluyendo a Chrome, Edge, Firefox, Opera, Brave, Yandex y otros. Una vez infectados extraer las credenciales de inicio de sesión, las cookies, el historial de navegación, los marcadores, los datos de autocompletar y el almacenamiento local. 

Sin embargo, su prinicpal objetivo son las criptomonedas, ataca más de 100 monederos, incluyendo extensiones de navegador como MetaMask, TrustWallet y Binance Chain. El malware es capaz de extraer credenciales de 1Password, Last Pass, Bitwarden, Dashlane y KeePassXC, así como extensiones de dos factores como Authenticator y Authy.

Es probable que la detención disuada futuros desarrollos, los investigadores creen que el código “podría sobrevivir a través de bifurcaciones o reventas”.

Este grupo Meduza es distinto del tristemente célebre grupo de ransomware Medusa, que atacó a más de 300 organizaciones de alto perfil en todo el mundo. Sin embargo, es probable que esta banda de ransomware también opere desde Rusia, ya que cuenta con una funcionalidad integrada que excluye a los países de la CEI, como Rusia, Kazajistán y Bielorrusia.