FBI und CISA warnen vor MedusaLocker-Ransomware

B2B Cyber Security ShortNews

Beitrag teilen

Das Federal Bureau of Investigation (FBI), die Cybersecurity and Infrastructure Security Agency (CISA), das Department of the Treasury und das Financial Crimes Enforcement Network (FinCEN) warnen vor der MedusaLocker-Ransomware. MedusaLocker-Akteure, die erst im Mai 2022 beobachtet wurden, verlassen sich überwiegend auf Schwachstellen im Remote Desktop Protocol (RDP), um auf die Netzwerke der Opfer zuzugreifen.

Die MedusaLocker-Akteure verschlüsseln die Daten des Opfers und hinterlassen in jedem Ordner mit verschlüsselten Dateien eine Lösegeldforderung mit Kommunikationsanweisungen. Die Notiz weist die Opfer an die Ransomware-Zahlungen an eine bestimmte Bitcoin-Wallet-Adresse zu leisten. Basierend auf der beobachteten Aufteilung der Lösegeldzahlungen scheint MedusaLocker als Ransomware-as-a-Service (RaaS)-Modell zu funktionieren.

Anzeige

Ransomware as a Service

Typische RaaS-Modelle umfassen den Ransomware-Entwickler und verschiedene verbundene Unternehmen, die die Ransomware bereitstellen. MedusaLocker-Ransomware-Zahlungen scheinen konsequent zwischen Ransomware-„Vermieter“ oder Service-Partner und dem der Angreifer-Gruppe aufgeteilt zu werden, das 55 bis 60 Prozent des Lösegelds erhält.

Technische Details

MedusaLocker-Ransomware-Akteure erhalten am häufigsten Zugriff auf Opfergeräte über Remote Desktop Protocol (RDP)-Konfigurationen. Akteure verwenden auch häufig E-Mail-Phishing- und Spam-E-Mail-Kampagnen indem sie die Ransomware direkt an die E-Mail anhängen – als anfängliche Angriffsvektoren.

Die Ransomware MedusaLocker verwendet eine Batch-Datei, um das PowerShell-Skript invoke-ReflectivePEInjection[ T1059.001 ] auszuführen. Dieses Skript verbreitet MedusaLocker im gesamten Netzwerk, indem es den EnableLinkedConnectionsWert in der Registrierung des infizierten Computers bearbeitet, wodurch der infizierte Computer angeschlossene Hosts und Netzwerke über das Internet Control Message Protocol (ICMP) und gemeinsam genutzten Speicher über das Server Message Block (SMB) Protocol erkennen kann .

Dann agiert MedusaLocker:

  • Startet den LanmanWorkstationDienst neu, wodurch Registrierungsänderungen wirksam werden.
  • Beendet die Prozesse bekannter Sicherheits-, Buchhaltungs- und forensischer Software.
  • Startet die Maschine im abgesicherten Modus neu, um eine Erkennung durch die Sicherheitssoftware [ T1562.009 ] zu vermeiden.
  • Verschlüsselt Opferdateien mit dem AES-256-Verschlüsselungsalgorithmus; der resultierende Schlüssel wird dann mit einem öffentlichen RSA-2048-Schlüssel [ T1486 ] verschlüsselt.
  • Wird alle 60 Sekunden ausgeführt und verschlüsselt alle Dateien mit Ausnahme derjenigen, die für die Funktionalität des Computers des Opfers kritisch sind, und der Dateien mit der angegebenen verschlüsselten Dateierweiterung.
  • Stellt Persistenz her, indem eine ausführbare Datei ( svhost.exeoder svhostt.exe) in das %APPDATA%\RoamingVerzeichnis kopiert und eine Aufgabe geplant wird, um die Ransomware alle 15 Minuten auszuführen.
  • Versuche, Standard-Wiederherstellungstechniken zu verhindern, indem lokale Sicherungen gelöscht, Startwiederherstellungsoptionen deaktiviert und Schattenkopien gelöscht werden [ T1490 ].
Mehr bei CISA.gov

 

Passende Artikel zum Thema

Phishing: Neue Kampagne nutzt Google Apps Script aus

Google Apps Script ist ein Werkzeug, um Aufgaben in Google-Anwendungen zu automatisieren. Check Point Forscher haben jetzt eine neue Phishing-Kampagne ➡ Weiterlesen

Modulare Speicherlösung für hohe Sicherheitsanforderungen

Die hochmoderne Speicherlösung Silent Brick Pro wurde speziell für Unternehmen entwickelt die Daten effizient, schnell und besonders sicher speichern wollen. ➡ Weiterlesen

Nordkoreanische Cyberspionage auf Rüstungsunternehmen

In den letzten Jahren wurden die nordkoreanischen Fähigkeiten in der Cyberspionage enorm ausgebaut und gezielte Hackerangriffe auf internationale Unternehmen und ➡ Weiterlesen

Malware attackierte iranische Regierungsnetzwerke

Sicherheitsforscher haben eine ausgefeilte Cyberattacke aufgedeckt. Die Malware richtet sich gegen irakische Regierungsnetzwerke, die mit staatlich unterstützten Akteuren aus dem ➡ Weiterlesen

CloudImposer hatte es auf Google Cloud Platform abgesehen

Eine kritische Remote-Code-Execution-Schwachstelle (RCE) namens CloudImposer hätte es bösartigen Akteuren möglich machen können, Millionen von Google Cloud Platform Servern (GCP) ➡ Weiterlesen

Intels Sicherheitstechnologie TDX soll Schwachstellen haben

​Forscher der Universität Lübeck haben nach ihren Angaben Sicherheitslücken in Intels Sicherheitstechnologie TDX entdeckt. Während die Forscher davor warnen sieht ➡ Weiterlesen

Report: Fertigungsbranche im Visier von Cyberkriminellen

Laut Threat Intelligence Report haben im ersten Halbjahr 2024 insbesondere Cyberattacken auf die Fertigungsbranche und den Industriesektor zugenommen. Der Report ➡ Weiterlesen

OT Security für Cloud-, Air-Gapped- und Hybrid-Umgebungen

Ein Anbieter von Cybersicherheitslösungen hat seine neue SaaS-Lösung für Betriebstechnologien (OT) vorgestellt. Es handelt sich um die erste Sicherheitslösung, mit ➡ Weiterlesen