Rilevamento del Ransomware MedusaLocker: Le Autorità Federali Rilasciano un CSA Congiunto

Il ransomware MedusaLocker è emerso per la prima volta nel settembre 2019 e da allora ha colpito una vasta gamma di industrie e organizzazioni, principalmente nel settore sanitario.

Supponendo come gli avversari dividano il denaro del riscatto, MedusaLocker sembra essere gestito come un RaaS. Le fonti hanno affermato che i pagamenti per il ransomware sembrano essere divisi tra l’affiliato e lo sviluppatore, con il primo che ottiene la parte maggiore.

Nella recente ondata di attacchi, il gruppo di minacce MedusaLocker ha lanciato campagne inviando email malevole non richieste e attacchi di forza bruta RDP per penetrare nelle reti bersaglio. È seguita poi la crittografia dei dati compromessi e la nota di riscatto che istruisce sui passaggi successivi, incluso il pagamento del riscatto in criptovaluta (Bitcoin).

Rileva il Ransomware MedusaLocker

Per aiutare le organizzazioni a rilevare attività malevole legate a MedusaLocker, gli utenti nuovi ed esistenti della piattaforma Detection as Code di SOC Prime possono scaricare regole Sigma dedicate create dal nostro sviluppatore Threat Bounty, Nattatorn Chuensangarun:

Contenuto di rilevazione per il ransomware MedusaLocker

Il kit di regole dedicate è disponibile per le oltre 25 piattaforme SIEM, EDR e XDR, allineato con il framework MITRE ATT&CK® v.10.

The Rileva & Caccia Il pulsante ti porterà al repository di rilevazioni associate agli attacchi ransomware. La libreria di SOC Prime è costantemente aggiornata con nuovi contenuti, potenziata dall’approccio collaborativo alla difesa informatica ed è abilitata dal modello Follow the Sun (FTS) per garantire la consegna tempestiva delle rilevazioni per minacce critiche in risposta al massiccio aumento degli eventi di ransomware. Clicca il pulsante Esplora Contesto delle Minacce per accedere alle rilevazioni relative al ransomware MedusaLocker utilizzando il motore di ricerca di SOC Prime per il Rilevamento di Minacce, la Caccia alle Minacce e CTI.

Rileva & Caccia Esplora Contesto delle Minacce

Analisi del Ransomware MedusaLocker

FBI, CISA, FinCEN e il Dipartimento del Tesoro hanno rilasciato un consiglio congiunto sulla cybersicurezza riguardante l’incremento delle attività del gruppo ransomware MedusaLocker. Il consiglio descrive i più recenti attacchi lanciati dagli attori MedusaLocker alla fine della primavera 2022. Secondo il consiglio, gli hacker impiegano vettori di infezione iniziale come l’ingegneria sociale (campagne malspam e phishing) e lo sfruttamento di vulnerabilità nel Remote Desktop Protocol (RDP).

Una volta che gli aggressori hanno ottenuto l’accesso iniziale, uno script PowerShell che diffonde il ransomware sulla rete viene eseguito utilizzando un file batch. Per non essere rilevato, MedusaLocker termina tutti i processi di sicurezza prima di crittografare i file che non sono essenziali per il funzionamento del dispositivo compromesso. A seguito dell’infezione, tutte le copie shadow e i backup locali vengono rimossi, così come le opzioni di ripristino del sistema di avvio vengono terminate.

Le vittime ricevono una nota di riscatto, esortando al pagamento del riscatto in Bitcoin per riottenere l’accesso ai propri dati e sistemi.

Hai ambizioni elevate nella cybersicurezza? Unisciti al Programma Threat Bounty per diventare parte della più grande comunità mondiale di difensori informatici e aiutarci a trasformare la caccia e il rilevamento delle minacce in tutto il mondo. Crea e condividi le tue regole Sigma e YARA, ottieni ricompense monetarie ricorrenti e unisciti alla lotta contro le minacce attuali e in evoluzione con SOC Prime!