O FBI, a CISA e o Departamento do Tesouro e a Financial Crimes Enforcement Network (FinCEN) divulgaram um alerta para fornecer informações sobre o ransomware MedusaLocker. Observados em maio de 2022, os atores do MedusaLocker dependem predominantemente de vulnerabilidades no Remote Desktop Protocol (RDP) para acessar as redes das vítimas.
Os agentes do MedusaLocker criptografam os dados da vítima e deixam uma nota de resgate com instruções de comunicação em cada pasta que contém um arquivo criptografado. A nota orienta as vítimas a fornecer pagamentos de ransomware para um endereço específico da carteira Bitcoin. O MedusaLocker parece operar como um modelo Ransomware-as-a-Service (RaaS) com base na divisão observada de pagamentos de resgate.
Os modelos típicos de RaaS envolvem o desenvolvedor do ransomware e várias afiliadas que implantam o ransomware nos sistemas das vítimas. Os pagamentos do ransomware MedusaLocker parecem ser consistentemente divididos entre o afiliado, que recebe de 55 a 60 por cento do resgate; e o desenvolvedor, que recebe o restante.
Detalhes técnicos
Os agentes do ransomware MedusaLocker geralmente obtêm acesso aos dispositivos das vítimas por meio de configurações vulneráveis do Remote Desktop Protocol (RDP) [T1133]. Os atores também costumam usar campanhas de phishing e spam por e-mail — anexando diretamente o ransomware ao e-mail — como vetores iniciais de intrusão [T1566].
O ransomware MedusaLocker usa um arquivo em lote para executar o script do PowerShell invoke-ReflectivePEInjection[ T1059.001 ]. Esse script propaga o MedusaLocker por toda a rede editando o EnableLinkedConnectionsvalor no registro da máquina infectada, o que permite que a máquina infectada detecte hosts e redes conectadas via Internet Control Message Protocol (ICMP) e detecte armazenamento compartilhado via Server Message Block (SMB) Protocol .
MedusaLocker então:
• Reinicia o LanmanWorkstationserviço, o que permite que as edições do registro tenham efeito;
• Mata os processos de softwares de segurança, contabilidade e forense conhecidos;
• Reinicia a máquina no modo de segurança para evitar a detecção pelo software de segurança [ T1562.009 ];
• Criptografa os arquivos das vítimas com o algoritmo de criptografia AES-256; a chave resultante é então criptografada com uma chave pública RSA-2048 [ T1486 ];
• É executado a cada 60 segundos, criptografando todos os arquivos, exceto aqueles críticos para a funcionalidade da máquina da vítima e aqueles que possuem a extensão de arquivo criptografada designada;
• Estabelece persistência copiando um executável ( svhost.exeou svhostt.exe) para o %APPDATA%\Roamingdiretório e agendando uma tarefa para executar o ransomware a cada 15 minutos;
• Tenta evitar técnicas de recuperação padrão excluindo backups locais, desativando opções de recuperação de inicialização e excluindo cópias de sombra [ T1490 ].
*Veja mais informações: CISA