Sonda es una empresa proveedora de servicios de tecnologías de información de
Chile con servicios en 11 países (Estados Unidos, México, Argentina, Brasil,
etc.) 3.000 ciudades y 13.000 empleados. SONDA es una multinacional chilena de
TI con sede en Santiago, es la más grande del sector de Tecnologías de la
Información (TI) en América Latina. Posee una base de clientes diversificada y
un alto nivel de ingresos recurrentes.
El lunes
03 de abril circucló en varios medios
la noticia de que la empresa había sido víctima de
Ransomware Medusa (no confundir con Medusa Locker), quienes por medio de su blog anunciaron un
rescate por hasta U$S 2.000.000 USD y el pasado
16 de abril publicaron los datos sustraídos.
En marzo, desde Segu-Info, ya habíamos advertido que el grupo
delictivo del Ransomware Medusa,
se encontraba activo en América Latina y ya había atacado a la empresa
Garbarino.
Diferentes MEDUSAs
Muchas familias de malware se hacen llamar Medusa, incluyendo una botnet basada en Mirai con capacidades de ransomware, un malware Medusa para Android y la operación de ransomware MedusaLocker, ampliamente conocida.
Debido al nombre comúnmente utilizado, ha habido algunos informes confusos sobre esta familia de ransomware, con muchos pensando que es lo mismo que MedusaLocker. Sin embargo, los ransomware Medusa y MedusaLocker son completamente diferentes.
La operación MedusaLocker se lanzó en 2019 como un Ransomware-as-a-Service, con numerosos afiliados, una nota de rescate comúnmente llamada How_to_back_files.html, y una amplia variedad de extensiones de archivo para los archivos cifrados. La operación MedusaLocker utiliza un sitio web Tor en qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd[.]onion para la negociación.
Sin embargo, la operación del ransomware Medusa se lanzó alrededor de junio de 2021 y ha estado utilizando una nota de rescate llamada !!!READ_ME_MEDUSA!!!.txt y una extensión de archivo cifrado estático de .MEDUSA. La operación Medusa también utiliza un sitio web Tor para negociar el rescate, aunque el suyo se encuentra en medusacegu2ufmc3kx2kkqicrlcxdettsjcenhjena6uannk5f4ffuyd[.]onion.
Ransomware Medusa
Medusa opera con un modelo de Ransomware-as-a-Service (RaaS). Los
modelos típicos de RaaS involucran al desarrollador de ransomware y varios
afiliados que implementan el ransomware en los sistemas de las víctimas. Los
pagos del ransomware Medusa parecen dividirse constantemente entre el
afiliado, que recibe del 55 al 60 por ciento del rescate; y el promotor, que
recibe el resto.
Los atacantes dieron a SONDA un total de 12 días desde la fecha de publicación
del anuncio para realizar el pago de la información secuestrada.
Sonda avisó el 31 de marzo a sus clientes
sobre la investigación en curso de un incidente de ciberseguridad.
MedusaLocker
Los actores del ransomware MedusaLocker a menudo obtienen acceso a los
dispositivos de las víctimas a través de configuraciones vulnerables del
protocolo de escritorio remoto (RDP) [T1133]. Los actores también utilizan con frecuencia campañas de correo electrónico
no deseado y phishing por correo electrónico, adjuntando directamente el
ransomware al correo electrónico, como vectores de intrusión iniciales [T1566].
El ransomware MedusaLocker utiliza un archivo por lotes para ejecutar el
script de PowerShell invoke-ReflectivePEInjection [T1059.001]. Este script propaga MedusaLocker a través de la red editando el
EnableLinkedConnectionsValue dentro del registro de la máquina
infectada, lo que luego permite que la máquina infectada detecte hosts y redes
conectados a través del protocolo ICMP y detecte el almacenamiento compartido
a través del protocolo SMB.
Procedimiento de infección
-
Reinicia el LanmanWorkstationService, lo que permite que las
ediciones del registro surtan efecto. - Elimina los procesos de software forense, contable y de seguridad conocido.
-
Reinicia la máquina en modo seguro para evitar la detección por parte del
software de seguridad [T1562.009]. -
Cifra los archivos de las víctimas con el algoritmo de cifrado AES-256; la
clave resultante se cifra luego con una clave pública RSA-2048 [T1486]. -
Se ejecuta cada 60 segundos, cifrando todos los archivos excepto aquellos
críticos para la funcionalidad de la máquina de la víctima y aquellos que
tienen la extensión de archivo encriptada designada. -
Establece la persistencia copiando un ejecutable (svhost.exe o
svhostt.exe) en el %APPDATA%Roaming y programando una tarea
para ejecutar el ransomware cada 15 minutos. -
Intenta evitar las técnicas de recuperación estándar mediante la eliminación
de copias de seguridad locales, la desactivación de las opciones de
recuperación de inicio y la eliminación de instantáneas [T1490].
German Fernández (aka
1ZRR4H) ha
publicado la nota de rescate
dejada por los delincuentes en los servidores de la empresa y los
servicios que desactiva.
Los actores de MedusaLocker colocan una nota de rescate en cada carpeta que
contiene un archivo con los datos cifrados de la víctima. La nota describe
cómo comunicarse con los actores de MedusaLocker, por lo general proporciona a
las víctimas una o más direcciones de correo electrónico en las que se puede
contactar a los actores. El tamaño de las demandas de rescate de MedusaLocker
parece variar según el estado financiero de la víctima según lo perciben los
actores.
En
Segu-Info
y el sitio web de CISA se pueden ver los IoC de este ransomware.
Los comentarios están cerrados.