Федеральне бюро розслідувань (ФБР), Агентство з кібербезпеки та безпеки інфраструктури (CISA), Міністерство фінансів і Мережа боротьби з фінансовими злочинами (FinCEN) випустили попередження про програму-вимагач MedusaLocker. Актори MedusaLocker, вперше помічені в травні 2022 року, переважно покладаються на вразливості протоколу віддаленого робочого столу (RDP) для доступу до мереж жертв.
Актори MedusaLocker шифрують дані жертви та залишають у кожній папці із зашифрованими файлами записку про викуп із інструкціями щодо зв’язку. Замітка вказує жертвам програм-вимагачів здійснювати платежі на певну адресу гаманця Bitcoin. Виходячи з спостережуваного розподілу виплат викупу, MedusaLocker, схоже, працює як модель програми-вимагача як послуга (RaaS).
Програми-вимагачі як послуга
Типові моделі RaaS включають розробника програм-вимагачів і різні афілійовані компанії, які надають програми-вимагачі. Схоже, що платежі за програми-вимагачі MedusaLocker послідовно розподіляються між «орендодавцем» або партнером з обслуговування та групою зловмисників, яка отримує від 55 до 60 відсотків викупу.
Технічні деталі
Зловмисники MedusaLocker найчастіше отримують доступ до пристроїв-жертв через конфігурації протоколу віддаленого робочого столу (RDP). Актори також часто використовують електронні кампанії з фішингу та спаму, прикріплюючи програмне забезпечення-вимагач безпосередньо до електронного листа – як початкові вектори атаки.
Програма-вимагач MedusaLocker використовує пакетний файл для запуску сценарію PowerShell invoke-ReflectivePEInjection[ T1059.001 ]. Цей сценарій поширює MedusaLocker по мережі шляхом редагування значення EnableLinkedConnections у реєстрі інфікованого комп’ютера, дозволяючи інфікованому комп’ютеру підключатися до хостів і мереж через протокол керуючих повідомлень Інтернету (ICMP) і спільну пам’ять через протокол блоку повідомлень сервера (SMB). розпізнати .
Тоді MedusaLocker діє:
- Перезапускає службу LanmanWorkstation, у результаті чого зміни реєстру набувають чинності.
- Закриває процеси відомого програмного забезпечення безпеки, бухгалтерського обліку та криміналістики.
- Перезапускає машину в безпечному режимі, щоб уникнути виявлення програмним забезпеченням безпеки [T1562.009].
- Шифрує файли-жертви за допомогою алгоритму шифрування AES-256; отриманий ключ потім шифрується відкритим ключем RSA-2048 [T1486].
- Запускається кожні 60 секунд і шифрує всі файли, крім критичних для роботи комп’ютера жертви та файлів із зазначеним розширенням зашифрованого файлу.
- Встановлює постійність шляхом копіювання виконуваного файлу (svhost.exe або svhostt.exe) у каталог %APPDATA%\Roaming і планування завдання для запуску програми-вимагача кожні 15 хвилин.
- Спроби запобігти стандартним методам відновлення шляхом видалення локальних резервних копій, вимкнення параметрів відновлення завантаження та видалення тіньових копій [T1490].