Das Federal Bureau of Investigation (FBI), die Cybersecurity and Infrastructure Security Agency (CISA), das Department of the Treasury und das Financial Crimes Enforcement Network (FinCEN) warnen vor der MedusaLocker-Ransomware. MedusaLocker-Akteure, die erst im Mai 2022 beobachtet wurden, verlassen sich überwiegend auf Schwachstellen im Remote Desktop Protocol (RDP), um auf die Netzwerke der Opfer zuzugreifen.
Die MedusaLocker-Akteure verschlüsseln die Daten des Opfers und hinterlassen in jedem Ordner mit verschlüsselten Dateien eine Lösegeldforderung mit Kommunikationsanweisungen. Die Notiz weist die Opfer an die Ransomware-Zahlungen an eine bestimmte Bitcoin-Wallet-Adresse zu leisten. Basierend auf der beobachteten Aufteilung der Lösegeldzahlungen scheint MedusaLocker als Ransomware-as-a-Service (RaaS)-Modell zu funktionieren.
Ransomware as a Service
Typische RaaS-Modelle umfassen den Ransomware-Entwickler und verschiedene verbundene Unternehmen, die die Ransomware bereitstellen. MedusaLocker-Ransomware-Zahlungen scheinen konsequent zwischen Ransomware-“Vermieter” oder Service-Partner und dem der Angreifer-Gruppe aufgeteilt zu werden, das 55 bis 60 Prozent des Lösegelds erhält.
Technische Details
MedusaLocker-Ransomware-Akteure erhalten am häufigsten Zugriff auf Opfergeräte über Remote Desktop Protocol (RDP)-Konfigurationen. Akteure verwenden auch häufig E-Mail-Phishing- und Spam-E-Mail-Kampagnen indem sie die Ransomware direkt an die E-Mail anhängen – als anfängliche Angriffsvektoren.
Die Ransomware MedusaLocker verwendet eine Batch-Datei, um das PowerShell-Skript invoke-ReflectivePEInjection[ T1059.001 ] auszuführen. Dieses Skript verbreitet MedusaLocker im gesamten Netzwerk, indem es den EnableLinkedConnectionsWert in der Registrierung des infizierten Computers bearbeitet, wodurch der infizierte Computer angeschlossene Hosts und Netzwerke über das Internet Control Message Protocol (ICMP) und gemeinsam genutzten Speicher über das Server Message Block (SMB) Protocol erkennen kann .
Dann agiert MedusaLocker:
- Startet den LanmanWorkstationDienst neu, wodurch Registrierungsänderungen wirksam werden.
- Beendet die Prozesse bekannter Sicherheits-, Buchhaltungs- und forensischer Software.
- Startet die Maschine im abgesicherten Modus neu, um eine Erkennung durch die Sicherheitssoftware [ T1562.009 ] zu vermeiden.
- Verschlüsselt Opferdateien mit dem AES-256-Verschlüsselungsalgorithmus; der resultierende Schlüssel wird dann mit einem öffentlichen RSA-2048-Schlüssel [ T1486 ] verschlüsselt.
- Wird alle 60 Sekunden ausgeführt und verschlüsselt alle Dateien mit Ausnahme derjenigen, die für die Funktionalität des Computers des Opfers kritisch sind, und der Dateien mit der angegebenen verschlüsselten Dateierweiterung.
- Stellt Persistenz her, indem eine ausführbare Datei ( svhost.exeoder svhostt.exe) in das %APPDATA%\RoamingVerzeichnis kopiert und eine Aufgabe geplant wird, um die Ransomware alle 15 Minuten auszuführen.
- Versuche, Standard-Wiederherstellungstechniken zu verhindern, indem lokale Sicherungen gelöscht, Startwiederherstellungsoptionen deaktiviert und Schattenkopien gelöscht werden [ T1490 ].