Αρκετές υπηρεσίες επιβολής του νόμου των ΗΠΑ έριξαν τα φώτα της δημοσιότητας στην MedusaLocker, μια συμμορία ransomware που κατά την διάρκεια της πανδημίας “χτύπησε” οργανισμούς υγειονομικής περίθαλψης.
Το MedusaLocker εμφανίστηκε το 2019 και από τότε αποτελεί πρόβλημα, ενισχύοντας τη δραστηριότητα κατά τα πρώτα στάδια της πανδημίας για τη μεγιστοποίηση των κερδών.
Ενώ το Medusa δεν είναι σήμερα τόσο παραγωγικό όσο τα δίκτυα RaaS Conti και Lockbit, το MedusaLocker προκάλεσε μερίδιο του προβλήματός, αποτελώντας μία από τις πολλές απειλές που οδήγησαν στην προειδοποίηση της Microsoft προς τους φορείς παροχής υπηρεσιών υγειονομικής περίθαλψης να επιδιορθώσουν τα VPN endpoints και να ρυθμίσουν με ασφάλεια το πρωτόκολλο Remote Desktop Protocol (RDP).Το πρώτο τρίμηνο του 2020, το MedusaLocker ήταν ένα από τα κορυφαία ransomware payloads μαζί με τα RobbinHood, Maze, PonyFinal, Valet loader, REvil, RagnarLocker και LockBit, σύμφωνα με τη Microsoft.
Από τον Μάιο του 2022, το Medusa έχει παρατηρηθεί να εκμεταλλεύεται κατά κύριο λόγο ευάλωτα RDP configurations για πρόσβαση στα δίκτυα των θυμάτων, σύμφωνα με ένα νέο κοινό Cybersecurity Advisory (CSA) από το Ομοσπονδιακό Γραφείο Ερευνών (FBI), την Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA), το Υπουργείο Οικονομικών και το Δίκτυο Επιβολής Οικονομικών Εγκλημάτων (FinCEN).
Το advisory είναι μέρος της συλλογής πόρων #StopRansomware της CISA σχετικά με ransomware.
«Το MedusaLocker φαίνεται να λειτουργεί ως μοντέλο Ransomware-as-a-Service (RaaS)», σημειώνει η CSA.
Τα μοντέλα RaaS περιλαμβάνουν τις συνδυασμένες προσπάθειες του ransomware developer και διαφόρων affiliate, όπως access brokers που αποκτούν αρχική πρόσβαση και άλλους φορείς που αναπτύσσουν το ransomware σε συστήματα θυμάτων.
Σε τεχνικό επίπεδο, αφού οι χάκερ του MedusaLocker αποκτήσουν αρχική πρόσβαση, το MedusaLocker αναπτύσσει ένα script PowerShell για τη διάδοση του ransomware σε όλο το δίκτυο, επεξεργάζοντας το μητρώο του μηχανήματος για τον εντοπισμό συνδεδεμένων host και δικτύων και χρησιμοποιώντας το πρωτόκολλο κοινής χρήσης αρχείων SMB για τον εντοπισμό συνδεδεμένης αποθήκευσης.
Οι εισβολείς του MedusaLocker τοποθετούν ένα σημείωμα λύτρων σε κάθε φάκελο που περιέχει ένα αρχείο με τα κρυπτογραφημένα δεδομένα του θύματος, σύμφωνα με την CSA.
Οι βασικές ενέργειες του MedusaLocker μετά τη διάδοση σε ένα δίκτυο είναι οι εξής:
- Επανεκκινεί την υπηρεσία LanmanWorkstation, η οποία επιτρέπει την εφαρμογή των επεξεργασιών μητρώου
- Επανεκκινεί το μηχάνημα σε ασφαλή λειτουργία για να αποφύγει τον εντοπισμό από το λογισμικό ασφαλείας
- Κρυπτογραφεί αρχεία θυμάτων με τον αλγόριθμο κρυπτογράφησης AES-256
- Εκτελείται κάθε 60 δευτερόλεπτα, κρυπτογραφώντας όλα τα αρχεία εκτός από εκείνα που είναι σημαντικά για τη λειτουργικότητα του μηχανήματος του θύματος και εκείνων που έχουν την καθορισμένη επέκταση κρυπτογραφημένου αρχείου
- Καθιερώνει το persistence προγραμματίζοντας μια εργασία για την εκτέλεση του ransomware κάθε 15 λεπτά.
- Προσπαθεί να αποτρέψει τυπικές τεχνικές ανάκτησης διαγράφοντας τοπικά αντίγραφα ασφαλείας, απενεργοποιώντας τις επιλογές ανάκτησης εκκίνησης και διαγράφοντας shadow copies