Ransomware MedusaLocker visa vulnerabilidades de desktop remoto

Os agentes do MedusaLocker criptografam os dados da vítima e deixam uma nota de resgate com instruções de comunicação em cada pasta que contém um arquivo criptografado

Compartilhar:

O FBI, a CISA e o Departamento do Tesouro e a Financial Crimes Enforcement Network (FinCEN) divulgaram um alerta para fornecer informações sobre o ransomware MedusaLocker. Observados em maio de 2022, os atores do MedusaLocker dependem predominantemente de vulnerabilidades no Remote Desktop Protocol (RDP) para acessar as redes das vítimas.

 

Os agentes do MedusaLocker criptografam os dados da vítima e deixam uma nota de resgate com instruções de comunicação em cada pasta que contém um arquivo criptografado. A nota orienta as vítimas a fornecer pagamentos de ransomware para um endereço específico da carteira Bitcoin. O MedusaLocker parece operar como um modelo Ransomware-as-a-Service (RaaS) com base na divisão observada de pagamentos de resgate.

 

Os modelos típicos de RaaS envolvem o desenvolvedor do ransomware e várias afiliadas que implantam o ransomware nos sistemas das vítimas. Os pagamentos do ransomware MedusaLocker parecem ser consistentemente divididos entre o afiliado, que recebe de 55 a 60 por cento do resgate; e o desenvolvedor, que recebe o restante.

 

Detalhes técnicos

 

Os agentes do ransomware MedusaLocker geralmente obtêm acesso aos dispositivos das vítimas por meio de configurações vulneráveis ​​do Remote Desktop Protocol (RDP) [T1133]. Os atores também costumam usar campanhas de phishing e spam por e-mail — anexando diretamente o ransomware ao e-mail — como vetores iniciais de intrusão [T1566].

 

O ransomware MedusaLocker usa um arquivo em lote para executar o script do PowerShell invoke-ReflectivePEInjection[ T1059.001 ]. Esse script propaga o MedusaLocker por toda a rede editando o EnableLinkedConnectionsvalor no registro da máquina infectada, o que permite que a máquina infectada detecte hosts e redes conectadas via Internet Control Message Protocol (ICMP) e detecte armazenamento compartilhado via Server Message Block (SMB) Protocol .
MedusaLocker então:

 

• Reinicia o LanmanWorkstationserviço, o que permite que as edições do registro tenham efeito;

• Mata os processos de softwares de segurança, contabilidade e forense conhecidos;

• Reinicia a máquina no modo de segurança para evitar a detecção pelo software de segurança [ T1562.009 ];

• Criptografa os arquivos das vítimas com o algoritmo de criptografia AES-256; a chave resultante é então criptografada com uma chave pública RSA-2048 [ T1486 ];

• É executado a cada 60 segundos, criptografando todos os arquivos, exceto aqueles críticos para a funcionalidade da máquina da vítima e aqueles que possuem a extensão de arquivo criptografada designada;

• Estabelece persistência copiando um executável ( svhost.exeou svhostt.exe) para o %APPDATA%\Roamingdiretório e agendando uma tarefa para executar o ransomware a cada 15 minutos;

• Tenta evitar técnicas de recuperação padrão excluindo backups locais, desativando opções de recuperação de inicialização e excluindo cópias de sombra [ T1490 ].

 

*Veja mais informações: CISA 

Conteúdos Relacionados

Security Report | Overview

Google, Facebook e Amazon são as marcas mais usadas em roubos de credenciais, diz relatório

Kaspersky aponta aumento de ataques de phishing a grandes marcas e a causa pode estar na sofisticação e agressividade de...
Security Report | Overview

Febraban alerta para golpes mais aplicados nas compras de Natal

Cliente deve redobrar cuidados ao fazer compras no e-commerce e com seu cartão nas lojas de rua de grandes centros...
Security Report | Overview

Bloqueio de fraudes na Black Friday crescem 270% em 2024

Novo dado foi divulgado pela Visa recentemente. Já na Cyber Monday, a empresa afirma ter bloqueado 85% a mais de...
Security Report | Overview

Como o cenário de malwares evoluiu na América Latina em 2024?

A evolução dos malwares focados na América Latina em 2024 destaca a adaptabilidade e a engenhosidade de seus desenvolvedores, que...