La Oficina Federal de Investigaciones (FBI), la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), el Departamento del Tesoro y la Red de Ejecución de Delitos Financieros (FinCEN) han emitido advertencias sobre el ransomware MedusaLocker. Los actores de MedusaLocker, observados por primera vez en mayo de 2022, dependen abrumadoramente de las vulnerabilidades del Protocolo de escritorio remoto (RDP) para acceder a las redes de las víctimas.
Los actores de MedusaLocker encriptan los datos de la víctima y dejan una nota de rescate con instrucciones de comunicación en cada carpeta con archivos encriptados. La nota indica a las víctimas del ransomware que realicen pagos a una dirección de billetera Bitcoin específica. Según la división observada de los pagos de rescate, MedusaLocker parece funcionar como un modelo de ransomware como servicio (RaaS).
Ransomware como un servicio
Los modelos típicos de RaaS involucran al desarrollador de ransomware y varias compañías afiliadas que proporcionan el ransomware. Los pagos del ransomware MedusaLocker parecen dividirse constantemente entre el "propietario" o socio de servicio del ransomware y el del grupo atacante, que recibe del 55 al 60 por ciento del rescate.
Detalles técnicos
Los actores del ransomware MedusaLocker suelen obtener acceso a los dispositivos de las víctimas a través de configuraciones de Protocolo de escritorio remoto (RDP). Los actores también suelen utilizar campañas de correo electrónico de phishing y correo no deseado al adjuntar el ransomware directamente al correo electrónico, como vectores de ataque inicial.
El ransomware MedusaLocker utiliza un archivo por lotes para ejecutar el script de PowerShell invocar-ReflectivePEInjection[ T1059.001 ]. Este script propaga MedusaLocker a través de la red al editar el valor de EnableLinkedConnections en el registro de la computadora infectada, lo que permite que la computadora infectada se conecte a hosts y redes a través del Protocolo de mensajes de control de Internet (ICMP) y la memoria compartida a través del protocolo Server Message Block (SMB). reconocer .
Entonces MedusaLocker actúa:
- Reinicia el servicio LanmanWorkstation, lo que hace que los cambios en el registro surtan efecto.
- Cierra los procesos de software forense, contable y de seguridad conocido.
- Reinicia la máquina en modo seguro para evitar la detección por parte del software de seguridad [T1562.009].
- Cifra los archivos de las víctimas utilizando el algoritmo de cifrado AES-256; la clave resultante se cifra luego con una clave pública RSA-2048 [ T1486 ].
- Se ejecuta cada 60 segundos y encripta todos los archivos, excepto los que son críticos para la funcionalidad de la computadora de la víctima y los archivos con la extensión de archivo encriptada especificada.
- Establece la persistencia copiando un ejecutable (svhost.exe o svhostt.exe) en el directorio %APPDATA%\Roaming y programando una tarea para ejecutar el ransomware cada 15 minutos.
- Intenta evitar las técnicas de recuperación estándar mediante la eliminación de copias de seguridad locales, la desactivación de las opciones de recuperación de arranque y la eliminación de instantáneas [ T1490 ].