Federal Soruşturma Bürosu (FBI), Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Hazine Bakanlığı ve Mali Suçları Uygulama Ağı (FinCEN), MedusaLocker fidye yazılımı hakkında uyarılar yayınladı. İlk olarak Mayıs 2022'de gözlemlenen MedusaLocker aktörleri, kurbanların ağlarına erişmek için ezici bir çoğunlukla Uzak Masaüstü Protokolü (RDP) güvenlik açıklarına güveniyor.
MedusaLocker aktörleri, kurbanın verilerini şifreler ve şifrelenmiş dosyalara sahip her klasöre iletişim talimatlarını içeren bir fidye notu bırakır. Not, fidye yazılımı kurbanlarına belirli bir Bitcoin cüzdan adresine ödeme yapma talimatı verir. Fidye ödemelerinin gözlemlenen bölünmesine dayanarak, MedusaLocker bir hizmet olarak fidye yazılımı (RaaS) modeli olarak çalışıyor gibi görünüyor.
Hizmet Olarak Fidye Yazılımı
Tipik RaaS modelleri, fidye yazılımı geliştiricisini ve fidye yazılımını sağlayan çeşitli bağlı şirketleri içerir. MedusaLocker fidye yazılımı ödemeleri, fidye yazılımı "ev sahibi" veya hizmet ortağı ile fidyenin yüzde 55 ila 60'ını alan saldırgan grubun ödemeleri arasında tutarlı bir şekilde bölünmüş görünüyor.
Teknik detaylar
MedusaLocker fidye yazılımı aktörleri, genellikle Uzak Masaüstü Protokolü (RDP) yapılandırmaları aracılığıyla kurban cihazlara erişim elde eder. Aktörler ayrıca, fidye yazılımını ilk saldırı vektörleri olarak doğrudan e-postaya ekleyerek e-posta kimlik avı ve spam e-posta kampanyalarını da kullanır.
MedusaLocker fidye yazılımı, invoke-ReflectivePEInjection[ T1059.001 ] PowerShell betiğini çalıştırmak için bir toplu iş dosyası kullanır. Bu komut dosyası, etkilenen bilgisayarın kayıt defterindeki EnableLinkedConnections değerini düzenleyerek MedusaLocker'ı ağa yayar ve virüs bulaşan bilgisayarın İnternet Kontrol İletisi Protokolü (ICMP) aracılığıyla ana bilgisayarlara ve ağlara bağlanmasına ve Sunucu İleti Bloğu (SMB) protokolü aracılığıyla paylaşılan belleğe bağlanmasına izin verir. tanımak .
Ardından MedusaLocker şunları yapar:
- Kayıt defteri değişikliklerinin etkili olmasına neden olan LanmanWorkstation hizmetini yeniden başlatır.
- Bilinen güvenlik, muhasebe ve adli yazılım süreçlerini kapatır.
- Güvenlik yazılımı [ T1562.009 ] tarafından algılanmayı önlemek için makineyi güvenli modda yeniden başlatır.
- Kurban dosyalarını AES-256 şifreleme algoritması kullanarak şifreler; ortaya çıkan anahtar daha sonra bir RSA-2048 genel anahtarı [T1486] ile şifrelenir.
- Her 60 saniyede bir çalışır ve kurbanın bilgisayarının işlevselliği açısından kritik olanlar ve belirtilen şifreli dosya uzantısına sahip dosyalar dışındaki tüm dosyaları şifreler.
- Yürütülebilir bir dosyayı ( svhost.exe veya svhostt.exe) %APPDATA%\Roaming dizinine kopyalayarak ve her 15 dakikada bir fidye yazılımını çalıştırmak için bir görev planlayarak kalıcılık sağlar.
- Yerel yedeklemeleri silerek, önyükleme kurtarma seçeneklerini devre dışı bırakarak ve gölge kopyaları silerek standart kurtarma tekniklerini engelleme girişimleri [ T1490 ].