Detección de Ransomware MedusaLocker: Autoridades Federales Publican una CSA Conjunta

El ransomware MedusaLocker apareció por primera vez en septiembre de 2019 y desde entonces ha estado afectando a una amplia gama de industrias y organizaciones, principalmente en el sector de la salud.

Asumiendo cómo los adversarios dividen el dinero del rescate, MedusaLocker parece funcionar como un RaaS. Fuentes afirmaron que los pagos por ransomware parecen dividirse entre el afiliado y el desarrollador, siendo el primero el que recibe la mayor parte.

En la reciente ola de ataques, el grupo de amenaza MedusaLocker lanzó campañas enviando correos electrónicos maliciosos no solicitados, así como ataques de fuerza bruta por RDP para infiltrarse en redes objetivo. Luego, siguió la encriptación de los datos comprometidos y la nota de rescate que instruye los pasos a seguir, incluido el pago del rescate en criptomoneda (Bitcoin).

Detectar Ransomware MedusaLocker

Para ayudar a las organizaciones a detectar actividad maliciosa relacionada con MedusaLocker, los nuevos y existentes usuarios de la plataforma Detection as Code de SOC Prime pueden descargar reglas Sigma dedicadas creadas por nuestro desarrollador Threat Bounty, Nattatorn Chuensangarun:

Contenido de Detección para Ransomware MedusaLocker

El kit de reglas dedicado está disponible para más de 25 plataformas SIEM, EDR y XDR, alineado con el marco MITRE ATT&CK® v.10.

The Detectar & Cazar el botón te llevará al repositorio de detecciones asociadas con ataques de ransomware. La biblioteca de SOC Prime se actualiza constantemente con nuevo contenido, potenciado por el enfoque colaborativo de defensa cibernética y habilitado por el modelo Follow the Sun (FTS) para asegurar la entrega oportuna de detecciones para amenazas críticas en respuesta al enorme aumento en el número de ocurrencias de ransomware. Haz clic en el Explorar Contexto de Amenaza botón para acceder a detecciones relacionadas con el ransomware MedusaLocker usando el motor de búsqueda de SOC Prime para Detección de Amenazas, Caza de Amenazas, y CTI.

Detectar & Cazar Explorar Contexto de Amenaza

Análisis del Ransomware MedusaLocker

FBI, CISA, FinCEN, y el Departamento del Tesoro han publicado un asesoramiento conjunto de ciberseguridad relacionado con el aumento de actividad del grupo de ransomware MedusaLocker. El CSA detalla los últimos ataques lanzados por los actores de MedusaLocker a finales de la primavera de 2022. Según el asesoramiento, los hackers emplean vectores de infección inicial como la ingeniería social (campañas de malspam y phishing) y la explotación de vulnerabilidades en el Protocolo de Escritorio Remoto (RDP).

Una vez que los atacantes han adquirido acceso inicial, se ejecuta un script de PowerShell que propaga el ransomware por la red usando un archivo por lotes. Para permanecer indetectado, MedusaLocker elimina todos los procesos de seguridad antes de encriptar archivos que no son esenciales para que el dispositivo comprometido opere. Como resultado de la infección, todas las copias sombra y las copias de seguridad locales son eliminadas, así como también se terminan las opciones de restauración del sistema de inicio.

Las víctimas quedan con una nota de rescate, instando al pago del rescate en Bitcoin para recuperar el acceso a sus datos y sistemas.

¿Tienes grandes ambiciones en ciberseguridad? Únete al Programa Threat Bounty para formar parte de la comunidad más grande del mundo de defensores cibernéticos y ayúdanos a transformar la caza y detección de amenazas en todo el mundo. Crea y comparte tus reglas Sigma y YARA, obtén recompensas monetarias recurrentes y únete a la lucha para combatir amenazas actuales y en evolución con SOC Prime!