MedusaLocker Ransomware-Erkennung: Bundesbehörden veröffentlichen ein gemeinsames CSA
Inhaltsverzeichnis:
MedusaLocker-Ransomware tauchte erstmals im September 2019 auf und hat seitdem eine breite Palette von Branchen und Organisationen, vor allem im Gesundheitswesen, beeinträchtigt.
Im Hinblick darauf, wie die Gegner das Lösegeld aufteilen, scheint MedusaLocker als RaaS betrieben zu werden. Quellen behaupteten, dass Zahlungen für Ransomware offenbar zwischen dem Affiliate und dem Entwickler aufgeteilt werden, wobei der erstere den größeren Anteil erhält.
In der jüngsten Angriffswelle startete die MedusaLocker-Bedrohungsgruppe Kampagnen, die unaufgeforderte bösartige E-Mails sowie RDP-Brute-Force-Angriffe verbreiteten, um in Zielnetzwerke einzudringen. Es folgte die Verschlüsselung der kompromittierten Daten und die Lösegeldforderung mit Anweisung weiterer Schritte, einschließlich der Lösegeldzahlung in Kryptowährung (Bitcoin).
MedusaLocker-Ransomware erkennen
Um Organisationen bei der Erkennung bösartiger Aktivitäten im Zusammenhang mit MedusaLocker zu unterstützen, können neue und bestehende Benutzer der Detection as Code-Plattform von SOC Prime spezielle Sigma-Regeln herunterladen, die von unserem Threat Bounty-Entwickler erstellt wurden, Nattatorn Chuensangarun:
Erkennungsinhalte für MedusaLocker-Ransomware
Das spezielle Regelset ist für die 25+ SIEM-, EDR- und XDR-Plattformen verfügbar, abgestimmt auf das MITRE ATT&CK® Framework v.10.
The Erkennen & Jagen Die Schaltfläche führt Sie zum Repository der Erkennungen im Zusammenhang mit Ransomware-Angriffen. Die Bibliothek von SOC Prime wird ständig mit neuen Inhalten erweitert, die durch einen kollaborativen Cyberverteidigungsansatz und das Follow the Sun (FTS)-Modell ermöglicht werden, um eine rechtzeitige Bereitstellung von Erkennungen für kritische Bedrohungen als Antwort auf den massiven Anstieg der Anzahl von Ransomware-Vorfällen zu gewährleisten. Klicken Sie auf die Bedrohungskontext erkunden Schaltfläche, um auf Erkennungen im Zusammenhang mit der MedusaLocker-Ransomware mithilfe der Suchmaschine von SOC Prime für Bedrohungserkennung, -jagd und CTI zuzugreifen.
Erkennen & Jagen Bedrohungskontext erkunden
MedusaLocker-Ransomware-Analyse
Das FBI, CISA, FinCEN und das Finanzministerium haben eine gemeinsame Cybersicherheitswarnung (CSA) bezüglich der Aktivitätszunahme der MedusaLocker-Ransomware-Gruppe veröffentlicht. Die CSA beschreibt die neuesten Angriffe, die von den MedusaLocker-Akteuren im späten Frühling 2022 gestartet wurden. Laut der Warnung nutzen Hacker solche initialen Infektionsvektoren wie Social Engineering (Malspam- und Phishing-Kampagnen) und die Ausnutzung von Schwachstellen im Remotedesktopprotokoll (RDP).
Sobald die Angreifer ersten Zugriff erhalten haben, wird ein PowerShell-Skript ausgeführt, das die Ransomware über das Netzwerk verbreitet, indem eine Batch-Datei verwendet wird. Um unentdeckt zu bleiben, beendet MedusaLocker alle Sicherheitsprozesse, bevor es Dateien verschlüsselt, die für den Betrieb des kompromittierten Geräts nicht wesentlich sind. Infolge der Infektion werden alle Schattenkopien und lokalen Backups entfernt sowie die Optionen zur Systemwiederherstellung beim Start deaktiviert.
Opfer erhalten eine Lösegeldforderung, die zur Zahlung des Lösegelds in Bitcoin drängt, um den Zugriff auf ihre Daten und Systeme zurückzuerlangen.
Haben Sie hohe Ambitionen in der Cybersicherheit? Treten Sie dem Threat Bounty-Programm bei, um Teil der weltweit größten Gemeinschaft von Cyberverteidigern zu werden und uns zu helfen, Bedrohungserkennung und -jagd weltweit zu transformieren. Erstellen und teilen Sie Ihre Sigma- und YARA-Regeln, erhalten Sie wiederkehrende monetäre Belohnungen und schließen Sie sich dem Kampf gegen aktuelle und sich entwickelnde Bedrohungen mit SOC Prime an!
