Bl0ckch41nnewsMedusaLocker: nuevo ransomware con víctimas en América Latina

La Oficina Federal de Investigaciones (FBI), la Agencia de Seguridad de
Infraestructura y Ciberseguridad (CISA), el Departamento del Tesoro y la Red
de Ejecución de Delitos Financieros (FinCEN) han publicado información sobre
el ransomware MedusaLocker observado
recientemente
en América Latina y Argentina.

Medusa es una variante de malware antigua (que no debe confundirse con el
troyano de Android del mismo nombre) que se anuncia en los mercados de darknet desde 2015 y luego agregó
capacidades DDoS basadas en HTTP en 2017. La empresa
Cyble ha dicho
que esta nueva variante, que es la continuación de esa antigua variedad de
malware, se basa en el código fuente filtrado de la
red de bots Mirai, y hereda sus capacidades de orientación a Linux y sus
amplias opciones de ataque DDoS.

Recientemente el grupo se hizo muy conocido luego de
robar datos de las Escuelas Públicas de Minneapolis, cargarlos en el sitio de filtración de su sitio web y hacer referencia a un incidente de agresión sexual que involucra a varios
estudiantes.

Los actores de MedusaLocker dependen predominantemente de vulnerabilidades en
el Protocolo de escritorio remoto (RDP) para acceder a las redes de las
víctimas y cifrar los datos. Luego  dejan una nota de rescate con
instrucciones de comunicación en cada carpeta que contiene un archivo cifrado.
La nota indica a las víctimas que proporcionen pagos de ransomware a una
dirección de billetera Bitcoin específica.

MedusaLocker parece operar como un modelo de
Ransomware-as-a-Service (RaaS) basado en la división observada de los
pagos de rescate. Los modelos típicos de RaaS involucran al desarrollador de
ransomware y varios afiliados que implementan el ransomware en los sistemas de
las víctimas. Los pagos del ransomware MedusaLocker parecen dividirse
constantemente entre el afiliado, que recibe del 55 al 60 por ciento del
rescate; y el promotor, que recibe el resto.

Detalles técnicos de MedusaLocker

Los actores del ransomware MedusaLocker a menudo obtienen acceso a los
dispositivos de las víctimas a través de configuraciones vulnerables del
Protocolo de escritorio remoto (RDP). Los actores también utilizan con
frecuencia campañas de correo electrónico no deseado y phishing por correo
electrónico (adjuntando directamente el ransomware al correo electrónico) como
vectores de intrusión inicial.

El ransomware MedusaLocker utiliza un archivo por lotes para ejecutar el
script de PowerShell invoke-ReflectivePEInjection. Este
script
propaga MedusaLocker a través de la red al editar el valor de
EnableLinkedConnections dentro del registro de la máquina infectada, lo
que luego permite que la máquina infectada detecte hosts y redes conectados a
través de ICMP y SMB.

MedusaLocker entonces realiza las
siguientes actividades:

• Reinicia el servicio LanmanWorkstation, lo que permite que surtan
  efecto las ediciones del registro.
• Elimina los procesos de software forense, contable y de seguridad conocido.
• Reinicia la máquina en modo seguro para evitar la detección por parte del
  software de seguridad.
• Cifra los archivos de las víctimas con el algoritmo de cifrado AES-256; la
  clave resultante se cifra luego con una clave pública RSA-2048.
• Se ejecuta cada 60 segundos, cifrando todos los archivos excepto aquellos
  críticos para la funcionalidad de la máquina de la víctima y aquellos que
  tienen la extensión de archivo designados.
• Establece la persistencia copiando un ejecutable (svhost.exe o
  svhostt.exe) en el directorio %APPDATA%Roaming y programando
  una tarea para ejecutar el ransomware cada 15 minutos.
• Intenta evitar las técnicas de recuperación estándar mediante la eliminación
  de copias de seguridad locales, la desactivación de las opciones de
  recuperación de inicio y la eliminación de instantáneas.
• Los actores de MedusaLocker colocan una nota de rescate en cada carpeta que
  contiene un archivo con los datos cifrados de la víctima. La nota describe
  cómo comunicarse con los actores de MedusaLocker, por lo general proporciona
  a las víctimas una o más direcciones de correo electrónico en las que se
  puede contactar a los actores.
• El tamaño de las demandas de rescate de MedusaLocker parece variar según el
  estado financiero de la víctima según lo perciben los actores.

Sin embargo,
parece que el método de cifrado a veces no funciona y convierte el
ransomware en un limpiador de datos (wiper). Después de cifrar los archivos en el dispositivo, el malware «duerme»
durante 86.400 segundos (24 horas) y elimina todos los archivos de las
unidades del sistema. Solo después de eliminar los archivos, muestra una nota
de rescate que solicita el pago de 0,5 BTC (11.400 USD), lo que es contrario a
la intuición para un intento de extorsión exitoso.

Cyble cree que se trata de un error en el código, ya que la destrucción de las
unidades del sistema hace imposible que las víctimas usen sus sistemas y lean
la nota de rescate. Este error también indica que la nueva variante de Medusa,
o al menos esta característica, aún está en desarrollo.

Vale la pena señalar que, si bien
la nueva versión de Medusa presenta una herramienta de exfiltración de
datos, no roba los archivos de los usuarios antes del cifrado. En cambio, se enfoca en recopilar información básica del sistema que ayuda
a identificar a las víctimas y estimar los recursos que se pueden usar para la
minería y los ataques DDoS.

Este anuncio de seguridad conjunto es parte de un esfuerzo continuo #StopRansomware para publicar avisos para los administradores de la red y detallan varias variantes de ransomware y actores de amenazas. Estos avisos incluyen tácticas, técnicas y procedimientos (TTP) observados recientemente e históricamente e indicadores de compromiso (IoC) para ayudar a las organizaciones a protegerse contra el ransomware. Se puede visitar stopransomware.gov para ver todos los avisos y obtener más información sobre otras amenazas de ransomware y recursos gratuitos.

Fuente:
CISA

Source link