O Federal Bureau of Investigation (FBI), a Cybersecurity and Infrastructure Security Agency (CISA), o Department of the Treasury e a Financial Crimes Enforcement Network (FinCEN) emitiram avisos sobre o ransomware MedusaLocker. Os atores do MedusaLocker, observados pela primeira vez em maio de 2022, dependem predominantemente das vulnerabilidades do Protocolo de Área de Trabalho Remota (RDP) para acessar as redes das vítimas.
Os atores do MedusaLocker criptografam os dados da vítima e deixam uma nota de resgate com instruções de comunicação em cada pasta com arquivos criptografados. A nota instrui as vítimas do ransomware a fazer pagamentos para um endereço de carteira Bitcoin específico. Com base na divisão observada de pagamentos de resgate, o MedusaLocker parece funcionar como um modelo de ransomware como serviço (RaaS).
Ransomware como serviço
Os modelos RaaS típicos envolvem o desenvolvedor do ransomware e várias empresas afiliadas que fornecem o ransomware. Os pagamentos do ransomware MedusaLocker parecem ser consistentemente divididos entre o “proprietário” do ransomware ou parceiro de serviço e o do grupo invasor, que recebe de 55 a 60 por cento do resgate.
Detalhes técnicos
Os atores do ransomware MedusaLocker geralmente obtêm acesso aos dispositivos das vítimas por meio das configurações do Protocolo de Área de Trabalho Remota (RDP). Os atores também costumam usar campanhas de e-mail de phishing e spam, anexando o ransomware diretamente ao e-mail - como vetores iniciais de ataque.
O ransomware MedusaLocker usa um arquivo em lote para executar o script do PowerShell invoke-ReflectivePEInjection[ T1059.001]. Este script espalha o MedusaLocker pela rede editando o valor EnableLinkedConnections no registro do computador infectado, permitindo que o computador infectado se conecte a hosts e redes por meio do Internet Control Message Protocol (ICMP) e memória compartilhada por meio do protocolo Server Message Block (SMB). reconhecer .
Então o MedusaLocker age:
- Reinicia o serviço LanmanWorkstation, que faz com que as alterações no registro entrem em vigor.
- Encerra os processos de software conhecido de segurança, contabilidade e forense.
- Reinicia a máquina no modo de segurança para evitar a detecção pelo software de segurança [ T1562.009 ].
- Criptografa os arquivos das vítimas usando o algoritmo de criptografia AES-256; a chave resultante é criptografada com uma chave pública RSA-2048 [T1486].
- É executado a cada 60 segundos e criptografa todos os arquivos, exceto aqueles críticos para a funcionalidade do computador da vítima e arquivos com a extensão de arquivo criptografado especificada.
- Estabelece a persistência copiando um executável (svhost.exe ou svhostt.exe) para o diretório %APPDATA%\Roaming e agendando uma tarefa para executar o ransomware a cada 15 minutos.
- Tenta evitar técnicas de recuperação padrão excluindo backups locais, desativando opções de recuperação de inicialização e excluindo cópias de sombra [ T1490 ].