Le Federal Bureau of Investigation (FBI), la Cybersecurity and Infrastructure Security Agency (CISA), le Département du Trésor et le Financial Crimes Enforcement Network (FinCEN) ont émis des avertissements concernant le rançongiciel MedusaLocker. Les acteurs de MedusaLocker, observés pour la première fois en mai 2022, s'appuient massivement sur les vulnérabilités du protocole de bureau à distance (RDP) pour accéder aux réseaux des victimes.
Les acteurs de MedusaLocker cryptent les données de la victime et laissent une note de rançon avec des instructions de communication dans chaque dossier contenant des fichiers cryptés. La note demande aux victimes du ransomware d'effectuer des paiements à une adresse de portefeuille Bitcoin spécifique. Sur la base de la répartition observée des paiements de rançon, MedusaLocker semble fonctionner comme un modèle de ransomware-as-a-service (RaaS).
Ransomware en tant que service
Les modèles RaaS typiques impliquent le développeur du ransomware et diverses sociétés affiliées qui fournissent le ransomware. Les paiements du ransomware MedusaLocker semblent être systématiquement répartis entre le "propriétaire" du ransomware ou le partenaire de service et celui du groupe d'attaquants, qui reçoit 55 à 60 % de la rançon.
Détails techniques
Les acteurs du rançongiciel MedusaLocker accèdent le plus souvent aux appareils des victimes via des configurations RDP (Remote Desktop Protocol). Les acteurs utilisent également couramment des campagnes de phishing et de spam par e-mail en attachant le ransomware directement à l'e-mail - en tant que vecteurs d'attaque initiaux.
Le rançongiciel MedusaLocker utilise un fichier de commandes pour exécuter le script PowerShell invoque-ReflectivePEInjection[T1059.001]. Ce script propage MedusaLocker sur le réseau en modifiant la valeur EnableLinkedConnections dans le registre de l'ordinateur infecté, permettant à l'ordinateur infecté de se connecter aux hôtes et aux réseaux via le protocole ICMP (Internet Control Message Protocol) et la mémoire partagée via le protocole Server Message Block (SMB) peut reconnaître .
Alors MedusaLocker agit :
- Redémarre le service LanmanWorkstation, ce qui entraîne l'application des modifications du registre.
- Arrête les processus des logiciels de sécurité, de comptabilité et d'investigation connus.
- Redémarre la machine en mode sans échec pour éviter la détection par le logiciel de sécurité [ T1562.009 ].
- Crypte les fichiers des victimes à l'aide de l'algorithme de cryptage AES-256 ; la clé résultante est ensuite chiffrée avec une clé publique RSA-2048 [ T1486 ].
- S'exécute toutes les 60 secondes et crypte tous les fichiers à l'exception de ceux qui sont essentiels à la fonctionnalité de l'ordinateur de la victime et des fichiers avec l'extension de fichier cryptée spécifiée.
- Établit la persistance en copiant un exécutable ( svhost.exe ou svhostt.exe) dans le répertoire %APPDATA%\Roaming et en planifiant une tâche pour exécuter le ransomware toutes les 15 minutes.
- Tente d'empêcher les techniques de récupération standard en supprimant les sauvegardes locales, en désactivant les options de récupération au démarrage et en supprimant les clichés instantanés [ T1490 ].