連邦捜査局 (FBI)、サイバーセキュリティおよびインフラストラクチャ セキュリティ庁 (CISA)、財務省、金融犯罪取締ネットワーク (FinCEN) は、MedusaLocker ランサムウェアについて警告を発しました。 2022 年 XNUMX 月に初めて確認された MedusaLocker 攻撃者は、圧倒的にリモート デスクトップ プロトコル (RDP) の脆弱性を利用して被害者のネットワークにアクセスしています。
MedusaLocker アクターは、被害者のデータを暗号化し、暗号化されたファイルを含む各フォルダーに通信指示を含む身代金メモを残します。 このメモは、ランサムウェアの被害者に、特定のビットコイン ウォレット アドレスに支払いを行うように指示しています。 観察された身代金支払いの分割に基づくと、MedusaLocker はサービスとしてのランサムウェア (RaaS) モデルとして機能しているようです。
サービスとしてのランサムウェア
典型的な RaaS モデルには、ランサムウェアの開発者と、ランサムウェアを提供するさまざまな関連会社が関与します。 MedusaLocker ランサムウェアの支払いは、ランサムウェアの「家主」またはサービス パートナーと、身代金の 55 ~ 60% を受け取る攻撃者グループの間で一貫して分割されているようです。
技術的な詳細
MedusaLocker ランサムウェア アクターは、最も一般的に、リモート デスクトップ プロトコル (RDP) 構成を介して被害者のデバイスにアクセスします。 攻撃者はまた、最初の攻撃ベクトルとして、ランサムウェアを電子メールに直接添付することにより、電子メール フィッシングおよびスパム電子メール キャンペーンをよく使用します。
MedusaLocker ランサムウェアは、バッチ ファイルを使用して、invoke-ReflectivePEInjection[ T1059.001 ] PowerShell スクリプトを実行します。 このスクリプトは、感染したコンピュータのレジストリの EnableLinkedConnections 値を編集することでネットワーク全体に MedusaLocker を拡散させ、感染したコンピュータが Internet Control Message Protocol (ICMP) 経由でホストやネットワークに接続できるようにし、Server Message Block (SMB) プロトコル経由で共有メモリを接続できるようにします。認識 。
その後、MedusaLocker は次のように動作します。
- LanmanWorkstation サービスを再起動します。これにより、レジストリの変更が有効になります。
- 既知のセキュリティ、会計、およびフォレンジック ソフトウェアのプロセスをシャットダウンします。
- セキュリティ ソフトウェアによる検出を回避するためにマシンをセーフ モードで再起動します [ T1562.009 ]。
- AES-256 暗号化アルゴリズムを使用して被害者ファイルを暗号化します。 結果のキーは、RSA-2048 公開キー [ T1486 ] で暗号化されます。
- 60 秒ごとに実行され、被害者のコンピュータの機能にとって重要なファイルと、指定された暗号化されたファイル拡張子を持つファイルを除くすべてのファイルを暗号化します。
- 実行可能ファイル (svhost.exe または svhostt.exe) を %APPDATA%\Roaming ディレクトリにコピーし、15 分ごとにランサムウェアを実行するタスクをスケジュールすることで、持続性を確立します。
- ローカル バックアップを削除し、ブート リカバリ オプションを無効にし、シャドウ コピーを削除することで、標準的なリカバリ手法を阻止しようとします [ T1490 ]。