Il Federal Bureau of Investigation (FBI), la Cybersecurity and Infrastructure Security Agency (CISA), il Department of the Treasury e il Financial Crimes Enforcement Network (FinCEN) hanno emesso avvisi sul ransomware MedusaLocker. Gli attori di MedusaLocker, osservati per la prima volta nel maggio 2022, si affidano in modo schiacciante alle vulnerabilità del Remote Desktop Protocol (RDP) per accedere alle reti delle vittime.
Gli attori di MedusaLocker crittografano i dati della vittima e lasciano una richiesta di riscatto con le istruzioni di comunicazione in ogni cartella con file crittografati. La nota istruisce le vittime del ransomware a effettuare pagamenti a uno specifico indirizzo di portafoglio Bitcoin. Sulla base della suddivisione osservata dei pagamenti del riscatto, MedusaLocker sembra funzionare come un modello ransomware-as-a-service (RaaS).
Ransomware come servizio
I tipici modelli RaaS coinvolgono lo sviluppatore del ransomware e varie società affiliate che forniscono il ransomware. I pagamenti del ransomware MedusaLocker sembrano essere costantemente suddivisi tra il "proprietario" del ransomware o il partner di servizio e quello del gruppo di aggressori, che riceve dal 55 al 60 percento del riscatto.
Dettagli tecnici
Gli attori ransomware MedusaLocker ottengono più comunemente l'accesso ai dispositivi delle vittime tramite le configurazioni RDP (Remote Desktop Protocol). Gli attori utilizzano comunemente anche campagne e-mail di phishing e spam allegando il ransomware direttamente all'e-mail, come vettori di attacco iniziale.
MedusaLocker ransomware utilizza un file batch per eseguire lo script PowerShell invoke-ReflectivePEInjection[T1059.001]. Questo script diffonde MedusaLocker attraverso la rete modificando il valore EnableLinkedConnections nel registro del computer infetto, consentendo al computer infetto di connettersi a host e reti tramite ICMP (Internet Control Message Protocol) e la memoria condivisa tramite il protocollo Server Message Block (SMB) può riconoscere .
Quindi MedusaLocker agisce:
- Riavvia il servizio LanmanWorkstation, che rende effettive le modifiche al registro.
- Arresta i processi del software di sicurezza, contabilità e forense noto.
- Riavvia la macchina in modalità provvisoria per evitare il rilevamento da parte del software di sicurezza [T1562.009].
- Crittografa i file delle vittime utilizzando l'algoritmo di crittografia AES-256; la chiave risultante viene quindi crittografata con una chiave pubblica RSA-2048 [T1486].
- Viene eseguito ogni 60 secondi e crittografa tutti i file tranne quelli critici per la funzionalità del computer della vittima e i file con l'estensione di file crittografata specificata.
- Stabilisce la persistenza copiando un eseguibile (svhost.exe o svhostt.exe) nella directory %APPDATA%\Roaming e programmando un'attività per eseguire il ransomware ogni 15 minuti.
- Tenta di impedire le tecniche di ripristino standard eliminando i backup locali, disabilitando le opzioni di ripristino all'avvio ed eliminando le copie shadow [ T1490 ].