Ransomware MedusaLocker visa vulnerabilidades de desktop remoto

Os agentes do MedusaLocker criptografam os dados da vítima e deixam uma nota de resgate com instruções de comunicação em cada pasta que contém um arquivo criptografado

Compartilhar:

O FBI, a CISA e o Departamento do Tesouro e a Financial Crimes Enforcement Network (FinCEN) divulgaram um alerta para fornecer informações sobre o ransomware MedusaLocker. Observados em maio de 2022, os atores do MedusaLocker dependem predominantemente de vulnerabilidades no Remote Desktop Protocol (RDP) para acessar as redes das vítimas.

 

Os agentes do MedusaLocker criptografam os dados da vítima e deixam uma nota de resgate com instruções de comunicação em cada pasta que contém um arquivo criptografado. A nota orienta as vítimas a fornecer pagamentos de ransomware para um endereço específico da carteira Bitcoin. O MedusaLocker parece operar como um modelo Ransomware-as-a-Service (RaaS) com base na divisão observada de pagamentos de resgate.

 

Os modelos típicos de RaaS envolvem o desenvolvedor do ransomware e várias afiliadas que implantam o ransomware nos sistemas das vítimas. Os pagamentos do ransomware MedusaLocker parecem ser consistentemente divididos entre o afiliado, que recebe de 55 a 60 por cento do resgate; e o desenvolvedor, que recebe o restante.

 

Detalhes técnicos

 

Os agentes do ransomware MedusaLocker geralmente obtêm acesso aos dispositivos das vítimas por meio de configurações vulneráveis ​​do Remote Desktop Protocol (RDP) [T1133]. Os atores também costumam usar campanhas de phishing e spam por e-mail — anexando diretamente o ransomware ao e-mail — como vetores iniciais de intrusão [T1566].

 

O ransomware MedusaLocker usa um arquivo em lote para executar o script do PowerShell invoke-ReflectivePEInjection[ T1059.001 ]. Esse script propaga o MedusaLocker por toda a rede editando o EnableLinkedConnectionsvalor no registro da máquina infectada, o que permite que a máquina infectada detecte hosts e redes conectadas via Internet Control Message Protocol (ICMP) e detecte armazenamento compartilhado via Server Message Block (SMB) Protocol .
MedusaLocker então:

 

• Reinicia o LanmanWorkstationserviço, o que permite que as edições do registro tenham efeito;

• Mata os processos de softwares de segurança, contabilidade e forense conhecidos;

• Reinicia a máquina no modo de segurança para evitar a detecção pelo software de segurança [ T1562.009 ];

• Criptografa os arquivos das vítimas com o algoritmo de criptografia AES-256; a chave resultante é então criptografada com uma chave pública RSA-2048 [ T1486 ];

• É executado a cada 60 segundos, criptografando todos os arquivos, exceto aqueles críticos para a funcionalidade da máquina da vítima e aqueles que possuem a extensão de arquivo criptografada designada;

• Estabelece persistência copiando um executável ( svhost.exeou svhostt.exe) para o %APPDATA%\Roamingdiretório e agendando uma tarefa para executar o ransomware a cada 15 minutos;

• Tenta evitar técnicas de recuperação padrão excluindo backups locais, desativando opções de recuperação de inicialização e excluindo cópias de sombra [ T1490 ].

 

*Veja mais informações: CISA 

Conteúdos Relacionados

Security Report | Overview

Nova onda de ciberataques revela avanço da engenharia social, alerta pesquisa

Estudo aponta a nova técnica de phishing, denominada FileFix, já é usada em campanhas reais e permite execução de malwares...
Security Report | Overview

48% dos líderes do setor de ciências da vida utilizam IA para Cibersegurança, afirma estudo

Security Report | Overview

Atuação do grupo de cibercriminosos persiste apesar de operação internacional, alerta pesquisa

Alerta de especialistas afirmam que grupo de cibercriminosos ainda está ativo apesar da operação internacional de busca dos envolvidos
Security Report | Overview

Mais de 12 milhões de smartphones foram alvo de ciberataques, aponta estudo

Entre janeiro e março deste ano, foi registrado um crescimento de 27% em arquivos maliciosos detectados, em comparação com o...