Medusa Locker - La nuova minaccia Ransomware

SUMMERY

La cyber-gang chiamata MedusaLocker (o Medusa ransomware), sono attori che molto spesso ottengono l’accesso ai dispositivi delle vittime attraverso dei RDP (Remote Desktop Protocol) vulnerabili o utilizzando spesso anche campagne e-mail di phishing e spam, allegando direttamente il ransomware all’e-mail.

Dopo aver effettuato l’accesso alle reti delle vittime, crittografano i dati lasciando una nota di riscatto (contenente le istruzioni di pagamento) in ogni cartella in cui risiede un file crittografato.

La nota di riscatto invita le vittime ad effettuare il pagamento ad uno specifico indirizzo di portafoglio Bitcoin, il quale varia a seconda della vittima che ha subito l’attacco.

MedusaLocker sembra funzionare come il noto ransomware Lockbit 3.0 un modello di Ransomware-as-a-Service (RaaS).

Analisi e prevenzione

MedusaLocker ransomware utilizza un file batch per eseguire lo Script “PowerShell invoke-ReflectivePEInjection”. Questo script propaga MedusaLocker in tutta la rete modificando il valore “EnableLinkedConnections” all’interno del registro della macchina infetta.

Ciò consente al Ransomware di rilevare host e reti collegate tramite il protocollo ICMP (Internet Control Message Protocol) successivamente rileva l’archiviazione condivisa tramite il protocollo Server Message Block (SMB).

Nella tabella sottostante possiamo osservare i servizi interessati con le relative porte:

Il Malware esegue questi passaggi:

Primo step: Uccide i processi di noti software di sicurezza e riavvia la macchina in modalità provvisoria per evitarne il rilevamento.

Secondo step: Crittografa i file delle vittime con l’algoritmo di crittografia AES-256; la chiave risultante viene quindi crittografata con una chiave pubblica RSA-2048. Il Ransomware crittografa tutti i file tranne quelli critici per la funzionalità della macchina e quelli che hanno l’estensione di file crittografata designata.

Terzo Step: A questo punto stabilisce la persistenza copiando un eseguibile (svhost.exe o svhostt.exe) nella directory %APPDATA%\Roaming e programma un’attività per eseguire il ransomware ogni 15 minuti.

Tenta di impedire le tecniche di ripristino standard eliminando i backup locali, disabilitando le opzioni di ripristino all’avvio ed eliminando le copie shadow.

In ogni cartella, il ransomware creerà una nota di riscatto denominata “!!!READ_ME_MEDUSA !!!. txt “che contiene informazioni su ciò che è accaduto ai file della vittima.

La nota di riscatto includerà anche le informazioni di contatto dell'estensione, tra cui un sito Tor in cui vengono pubblicati i dati esfiltrati e un altro un sito tor per avviare la negoziazione, un canale Telegram, un ID Tox e l'indirizzo e-mail key.medusa.serviceteam@protonmail.com.

Il sito dove viene svolta la negoziazione è: http://medusacegu2ufmc3kx2kkqicrlcxdettsjcenhjena6uannk5f4ffuyd.onion.

Gli attori di MedusaLocker inseriscono una richiesta di riscatto in ogni cartella contenente un file con i dati crittografati della vittima. La nota delinea come comunicare con gli attori di MedusaLocker, in genere fornendo alle vittime uno o più indirizzi e-mail a cui gli attori possono essere raggiunti.

La dimensione delle richieste di riscatto di MedusaLocker sembra variare a seconda della situazione finanziaria della vittima percepita dagli attori della minaccia.

Quarto step: Come ulteriore passo per impedire il ripristino dei file dai backup, il ransomware Medusa eseguirà il comando seguente per eliminare i file memorizzati localmente associati ai programmi di backup, come ad esempio Windows Backup. Questo comando eliminerà anche i dischi rigidi del disco virtuale (VHD) utilizzati dalle macchine virtuali.

Il sito di negoziazione Tor si definisce una "Chat sicura", dove ogni vittima ha un ID univoco che può essere utilizzato per comunicare con la banda ransomware.

Quinto step: Come è stato accennato precedentemente, Medusa ha un sito dove vengono pubblicati i dati delle vittime chiamato "Blog Medusa”.

Quinto step: Come è stato accennato precedentemente, Medusa ha un sito dove vengono pubblicati i dati delle vittime chiamato "Blog Medusa”.

PREVENZIONE

1. Eseguire regolarmente un piano di backup per l’infrastruttura che ci interessa proteggere.

2. Aggiornare i sistemi operativi e gli applicativi installati all’ultima versione rilasciate dalle Software House (spesso fonte di vulnerabilità da sfruttare per accessi non autorizzati);

3. Utilizzare l’autenticazione a più fattori (MFA)

4. Formazione del personale dipendente operativo attraverso campagne Awareness.

È proprio quest’ultimo punto a identificare un grande deficit, il fattore umano. La formazione del personale dipendente a tutti i livelli dell’organizzazione, chiunque abbia a che fare con dispositivi informatici, rimane fondamentale. L’ottica principale e imparare, allo stesso tempo, a saper riconoscere una mail di phishing, e saperla gestire senza che le azioni mettano a rischio l’organizzazione, sempre più spesso vettore di pericolose campagne malware.