MedusaLockerランサムウェア検知：連邦当局が共同CSAを発表

MedusaLockerランサムウェアは2019年9月に初めて登場し、それ以来、主に医療分野を中心に幅広い業界や組織に影響を与えています。

攻撃者がどのように身代金を分配するかを考えると、MedusaLockerはRaaSとして運営されているようです。情報源によると、ランサムウェアの支払いは、アフィリエイトと開発者の間で分けられ、前者がより大きな割合を得るとされています。

最近の攻撃波では、MedusaLockerの脅威グループは、未承諾の悪意のあるメールを送信したり、RDPブルートフォース攻撃でターゲットネットワークに侵入するキャンペーンを展開しました。その後、侵害されたデータの暗号化と、暗号通貨（ビットコイン）での身代金支払いを含むさらなる手順を指示する身代金要求書が続きました。

MedusaLockerランサムウェアを検出する

組織がMedusaLockerに関連する悪意のある活動を検出するのを助けるために、SOC PrimeのDetection as Codeプラットフォームの新規および既存のユーザーは、私たちのThreat Bountyデベロッパーによって作成された専用のSigmaルールをダウンロードできます。 Nattatorn Chuensangarun:

MedusaLockerランサムウェアの検出コンテンツ

専用のルールキットは、25以上のSIEM、EDR、XDRプラットフォームで利用可能です。 そしてそれは MITRE ATT&CK®フレームワーク v.10に準拠しています。

The 検出・追跡 ボタンをクリックすると、ランサムウェア攻撃に関連する検出のリポジトリにアクセスできます。SOC Primeのライブラリは、協力的なサイバー防御アプローチと、Follow the Sun（FTS）モデルによって強化された新しいコンテンツで常に更新されています。ランサムウェアの発生数の大幅な増加への対応として、重大な脅威に対する検出を迅速に届けるためです。「 脅威の文脈を探る 」ボタンをクリックして、SOC Primeの検索エンジンを使用して、MedusaLockerランサムウェアに関連する検出にアクセスします。

検出・追跡 脅威の文脈を探る

MedusaLockerランサムウェア分析

FBI、CISA、FinCEN、財務省は、 共同サイバーセキュリティ勧告 （CSA）を発表し、MedusaLockerランサムウェアグループの活動の急増について述べています。このCSAは、2022年春の終わりにMedusaLockerアクターによって開始された最新の攻撃を詳述しています。勧告によれば、ハッカーはソーシャルエンジニアリング（メールスパムやフィッシングキャンペーン）やリモートデスクトッププロトコル（RDP）の脆弱性の悪用といった初期感染ベクターを使用します。

攻撃者が初期アクセスを取得すると、ネットワーク上でランサムウェアを拡散するPowerShellスクリプトがバッチファイルを使用して実行されます。検出されないように、MedusaLockerは侵害されたデバイスの稼働に不要なセキュリティプロセスをすべて終了させ、ファイルを暗号化します。感染の結果として、すべてのシャドウコピーとローカルバックアップが削除され、システムのスタートアップリストアオプションが終了されます。

被害者には身代金要求書が残され、データやシステムへのアクセスを取り戻すためにビットコインで身代金を支払うよう促されます。

サイバーセキュリティで高飛車な野望を持っていますか？ 「 Threat Bounty Program 」に参加して、世界最大のサイバー防衛コミュニティの一員になり、脅威ハンティングと検出を世界的に変革しましょう。自分のSigmaやYARAルールを作成・共有し、定期的な金銭報酬を得て、現在および進化する脅威と戦うためにSOC Primeと共に戦いましょう！