फेडरल ब्यूरो ऑफ इन्वेस्टिगेशन (FBI), साइबर सिक्योरिटी एंड इंफ्रास्ट्रक्चर सिक्योरिटी एजेंसी (CISA), ट्रेजरी विभाग और वित्तीय अपराध प्रवर्तन नेटवर्क (FinCEN) ने मेडुसालॉकर रैंसमवेयर के बारे में चेतावनी जारी की है। मेडुसा लॉकर अभिनेता, पहली बार मई 2022 में देखे गए, पीड़ितों के नेटवर्क तक पहुंचने के लिए रिमोट डेस्कटॉप प्रोटोकॉल (आरडीपी) की कमजोरियों पर बहुत अधिक भरोसा करते हैं।
मेडुसा लॉकर अभिनेता पीड़ित के डेटा को एन्क्रिप्ट करते हैं और एन्क्रिप्टेड फाइलों के साथ प्रत्येक फ़ोल्डर में संचार निर्देशों के साथ फिरौती का नोट छोड़ते हैं। नोट रैंसमवेयर के पीड़ितों को एक विशिष्ट बिटकॉइन वॉलेट पते पर भुगतान करने का निर्देश देता है। फिरौती के भुगतान के देखे गए विभाजन के आधार पर, मेडुसा लॉकर रैनसमवेयर-एज-ए-सर्विस (रास) मॉडल के रूप में काम करता प्रतीत होता है।
सेवा के रूप में रैंसमवेयर
विशिष्ट रास मॉडल में रैंसमवेयर डेवलपर और विभिन्न संबद्ध कंपनियां शामिल होती हैं जो रैनसमवेयर प्रदान करती हैं। मेडुसा लॉकर रैंसमवेयर भुगतान रैंसमवेयर "मकान मालिक" या सर्विस पार्टनर और हमलावर समूह के बीच लगातार विभाजित होता दिखाई देता है, जो फिरौती का 55 से 60 प्रतिशत प्राप्त करता है।
टेक्निकल डिटेल
मेडुसा लॉकर रैंसमवेयर अभिनेता आमतौर पर रिमोट डेस्कटॉप प्रोटोकॉल (आरडीपी) कॉन्फ़िगरेशन के माध्यम से पीड़ित उपकरणों तक पहुंच प्राप्त करते हैं। अभिनेता आमतौर पर ईमेल फ़िशिंग और स्पैम ईमेल अभियानों का उपयोग ईमेल से सीधे रैंसमवेयर को जोड़कर करते हैं - प्रारंभिक हमले वैक्टर के रूप में।
MedusaLocker रैनसमवेयर इनवोक-रिफ्लेक्टिवPEInjection [ T1059.001 ] PowerShell स्क्रिप्ट को चलाने के लिए एक बैच फ़ाइल का उपयोग करता है। यह स्क्रिप्ट संक्रमित कंप्यूटर की रजिस्ट्री में EnableLinkedConnections मान को संपादित करके पूरे नेटवर्क में MedusaLocker को फैलाती है, संक्रमित कंप्यूटर को इंटरनेट कंट्रोल मैसेज प्रोटोकॉल (ICMP) के माध्यम से मेजबानों और नेटवर्क से कनेक्ट करने की अनुमति देती है और सर्वर मैसेज ब्लॉक (SMB) प्रोटोकॉल के माध्यम से साझा मेमोरी कर सकती है। पहचानना ।
तब मेडुसा लॉकर कार्य करता है:
- LanmanWorkstation सेवा को पुनरारंभ करता है, जिससे रजिस्ट्री परिवर्तन प्रभावी हो जाते हैं।
- ज्ञात सुरक्षा, लेखा और फोरेंसिक सॉफ़्टवेयर की प्रक्रियाओं को बंद कर देता है।
- सुरक्षा सॉफ़्टवेयर [ T1562.009 ] द्वारा पता लगाने से बचने के लिए मशीन को सुरक्षित मोड में पुनरारंभ करता है।
- AES-256 एन्क्रिप्शन एल्गोरिथम का उपयोग करके पीड़ित फ़ाइलों को एन्क्रिप्ट करता है; परिणामी कुंजी को फिर RSA-2048 सार्वजनिक कुंजी [ T1486 ] के साथ एन्क्रिप्ट किया जाता है।
- प्रत्येक 60 सेकंड में चलता है और पीड़ित के कंप्यूटर की कार्यक्षमता के लिए महत्वपूर्ण फ़ाइलों और निर्दिष्ट एन्क्रिप्टेड फ़ाइल एक्सटेंशन वाली फ़ाइलों को छोड़कर सभी फ़ाइलों को एन्क्रिप्ट करता है।
- निष्पादन योग्य (svhost.exe या svhostt.exe) को %APPDATA%\Roaming निर्देशिका में कॉपी करके और हर 15 मिनट में रैंसमवेयर चलाने के लिए कार्य शेड्यूल करके दृढ़ता स्थापित करता है।
- स्थानीय बैकअप को हटाकर, बूट रिकवरी विकल्पों को अक्षम करके, और छाया प्रतियों को हटाकर [ T1490 ] मानक पुनर्प्राप्ति तकनीकों को रोकने का प्रयास।