Détection du Ransomware MedusaLocker : Les autorités fédérales publient un CSA conjoint
Table des matières :
Le ransomware MedusaLocker est apparu pour la première fois en septembre 2019 et a depuis touché un large éventail d’industries et d’organisations, principalement dans le secteur de la santé.
En supposant comment les adversaires divisent l’argent de la rançon, MedusaLocker semble être géré en tant que RaaS. Des sources ont prétendu que les paiements pour le ransomware semblent être divisés entre l’affilié et le développeur, le premier recevant la plus grande part.
Lors de la récente vague d’attaques, le groupe de menace MedusaLocker a lancé des campagnes envoyant des e-mails malveillants non sollicités ainsi que des attaques de force brute RDP pour pénétrer dans les réseaux cibles. Ensuite a suivi le chiffrement des données compromises et la note de rançon donnant des instructions pour les étapes suivantes, y compris le paiement de la rançon en cryptomonnaie (Bitcoin).
Détecter le ransomware MedusaLocker
Pour aider les organisations à détecter une activité malveillante liée à MedusaLocker, les nouveaux et actuels utilisateurs de la plateforme Detection as Code de SOC Prime peuvent télécharger des règles Sigma dédiées créées par notre développeur Threat Bounty, Nattatorn Chuensangarun:
Contenu de détection pour le ransomware MedusaLocker
Le kit de règles dédié est disponible pour plus de 25 plateformes SIEM, EDR & XDR, aligné avec le cadre MITRE ATT&CK® v.10.
The Détecter & Chasser le bouton vous mènera au répertoire des détections associées aux attaques de ransomware. La bibliothèque de SOC Prime est constamment mise à jour avec de nouveaux contenus, renforcée par l’approche collaborative de défense cyber et facilitée par le modèle Follow the Sun (FTS) pour garantir une livraison rapide des détections pour les menaces critiques en réponse à l’explosion massive du nombre d’occurrences de ransomware. Cliquez sur le Explorer le Contexte des Menaces bouton pour accéder aux détections liées au ransomware MedusaLocker en utilisant le moteur de recherche de SOC Prime pour la détection des menaces, la chasse aux menaces et le CTI.
Détecter & Chasser Explorer le Contexte des Menaces
Analyse du ransomware MedusaLocker
Le FBI, la CISA, le FinCEN et le Département du Trésor ont publié un avis conjoint de cybersécurité (CSA) concernant l’intensification de l’activité du groupe de ransomware MedusaLocker. Le CSA détaille les dernières attaques lancées par les acteurs de MedusaLocker à la fin du printemps 2022. Selon l’avis, les hackers utilisent des vecteurs d’infection initiaux tels que l’ingénierie sociale (campagnes de malspam et de phishing) et l’exploitation des vulnérabilités dans le protocole Remote Desktop (RDP).
Une fois que les attaquants ont acquis un accès initial, un script PowerShell qui propage le ransomware sur le réseau est exécuté à l’aide d’un fichier batch. Pour rester indétecté, MedusaLocker tue tous les processus de sécurité avant de chiffrer les fichiers qui ne sont pas essentiels au fonctionnement de l’appareil compromis. À la suite de l’infection, toutes les copies d’ombre et les sauvegardes locales sont supprimées ainsi que les options de restauration du système au démarrage sont désactivées.
Les victimes se retrouvent avec une note de rançon, incitant au paiement en Bitcoin pour récupérer l’accès à leurs données et systèmes.
Vous avez des ambitions élevées dans la cybersécurité ? Rejoignez le Programme Threat Bounty pour faire partie de la plus grande communauté mondiale de cyber-défenseurs et aidez-nous à transformer la chasse aux menaces et la détection dans le monde entier. Créez et partagez vos règles Sigma et YARA, recevez des récompenses monétaires récurrentes, et rejoignez la lutte contre les menaces actuelles et évolutives avec SOC Prime !
