MedusaLocker, attenti al nuovo ransomware

Vengono esposti direttamente dalla CISA nuovi elementi di analisi del ransomware MedusaLocker e del modus operandi di questo gruppo criminale estorsivo, operante con grandi quantità di wallet di criptovaluta per distribuire i proventi.

Vediamo come funziona, il giro d’affari e le soluzioni di mitigazione.

 

Come parte del programma #StopRansomware, l’agenzia statunitense CISA (Cybersecurity and Infrastructure Security Agency) ha diffuso una nuova analisi di aggiornamento sull’impatto recente del ransomware MedusaLocker.

In particolare, l’agenzia USA ha diramato nuovi elementi per il riconoscimento di questo software malevolo in circolazione ormai da due anni, ma con tattiche, tecniche e procedure (TTP) e indicatori di compromissione (IoC) che cambiano ed evolvono di volta in volta.

 

Funzionamento del ransomware MedusaLocker

Il ransomware è in circolazione da giugno 2020 e nel tempo ha evoluto e cambiato elementi propri aggiornando il software e aprendo la porta a nuovi scenari di rischio per enti e organizzazioni.

MedusaLocker ha utilizzato, negli anni, più fasi dell’infezione, a partire da un file batch iniziale e un documento di testo, utilizzato per iniettare il ransomware nella memoria del sistema target attendendo l’esecuzione.

In particolare, utilizza il codice PowerShell noto per eseguire l’iniezione riflessiva del suo codice, facendo sì che PowerShell stesso esegua l’attività dannosa.

Considerato subdolo, questo ransomware è stato coinvolto nell’alterazione del sistema per rimuovere permanentemente le copie shadow di Windows ed eliminare i servizi di sistema prima di bloccare i dati utilizzando la crittografia AES-256 standard.

I dati che vengono condivisi a partire dallo scorso giovedì, tramite un bollettino congiunto con le forze statunitensi di Federal Bureau of Investigation (FBI), Cybersecurity and Infrastructure Security Agency (CISA), Dipartimento del Tesoro e Financial Crimes Enforcement Network (FinCEN), sono relativi alle attività di MedusaLocker rilevate nel mese di maggio 2022, quindi le ultime più recenti.

Ciò che è stato ormai accertato è che gli operatori dietro al ransomware MedusaLocker spesso ottengono l’accesso ai dispositivi delle vittime attraverso configurazioni vulnerabili del Remote Desktop Protocol (RDP).

Inoltre “utilizzano spesso anche campagne di posta elettronica di phishing e spam, allegando direttamente il ransomware all’e-mail, come vettori di intrusione iniziale”.

Inoltre, ancora oggi la modalità di infezione è garantita da uno script PowerShell tramite file batch.

In questa maniera si diffonde su tutta la rete, utilizzando il valore della chiave di registro “EnableLinkedConnections” all’interno della macchina infetta.

In questa azione iniziale, il ransomware prende di mira i file condivisi tramite la ricerca del servizio di archiviazione SMB (Server Message Block) di Windows (le unità SAMBA dei sistemi GNU/Linux per intenderci), garantendosi così un accesso privilegiato a quelli che presumibilmente possono essere i punti sensibili e importanti di una organizzazione.

 

Come si presenta Medusa Locker online

La presenza sul Web di questo gruppo ransomware è gestita dietro rete Tor.

Non vi è ancora un classico blog con l’esposizione delle vittime, ma è online una pagina tramite la quale chiunque sia stato colpito da Medusa Locker, possa inviare un file che è stato crittografato reso quindi inutilizzabile, al fine di testare l’effettivo funzionamento dello strumento di decriptazione in mano all’organizzazione criminale, prima di effettuare il pagamento del riscatto.

Condividi