메두사락커 랜섬웨어 탐지: 연방 당국의 공동 CSA 발표

[post-views]
7월 07, 2022 · 2 분 읽기
메두사락커 랜섬웨어 탐지: 연방 당국의 공동 CSA 발표

MedusaLocker 랜섬웨어는 2019년 9월 처음 등장했으며, 주로 의료 분야에서 다양한 산업과 조직에 영향을 미치고 있습니다.

대담한 적들이 몸값을 어떻게 나누는지를 감안하면, MedusaLocker는 RaaS로 운영되는 것으로 보입니다. 소식통에 따르면 랜섬웨어 대금 분배는 제휴자와 개발자 간에 이루어지며, 전자가 더 많은 몫을 차지한다고 주장합니다.

최근 공격 물결에서 MedusaLocker 위협 그룹은 원치 않는 악성 이메일을 발송하는 캠페인과 함께 RDP 무차별 대입 공격을 시작하여 표적 네트워크에 침투했습니다. 이후 손상된 데이터 암호화와 암호화폐(비트코인)로의 몸값 지급을 포함한 추후 절차를 지시하는 몸값 노트가 따랐습니다.

MedusaLocker 랜섬웨어 탐지

조직이 MedusaLocker와 관련된 악성 활동을 탐지하도록 돕기 위해, SOC Prime의 Detection as Code 플랫폼의 신규 및 기존 사용자는 당사의 Threat Bounty 개발자가 만든 전용 Sigma 규칙을 다운로드할 수 있습니다. Nattatorn Chuensangarun:

MedusaLocker 랜섬웨어 탐지 콘텐츠

전용 규칙 키트는 25+ SIEM, EDR & XDR 플랫폼에서 사용할 수 있으며, 다음에 정렬되었습니다. MITRE ATT&CK® 프레임워크 v.10.

The 탐지 및 수색 버튼을 클릭하면 랜섬웨어 공격과 관련된 탐지 저장소로 이동합니다. SOC Prime의 라이브러리는 협력적 사이버 방어 접근법으로 강화되고 Follow the Sun (FTS) 모델이 가능하여 긴급한 위협 탐지를 위한 시기적절한 콘텐츠를 제공하기 위해 지속적으로 업데이트됩니다. 버튼을 클릭하여 위협 컨텍스트 탐색 MedusaLocker 랜섬웨어와 관련된 탐지를 SOC Prime의 Threat Detection, Threat Hunting, CTI를 위한 검색 엔진을 사용하여 액세스하세요.

탐지 및 수색 위협 컨텍스트 탐색

MedusaLocker 랜섬웨어 분석

FBI, CISA, FinCEN, 재무부는 공동 사이버 보안 권고 를 발표했습니다. 이는 MedusaLocker 랜섬웨어 그룹의 활동 급증과 관련이 있습니다. CSA는 MedusaLocker 행위자들이 2022년 늦은 봄에 시작한 최신 공격을 자세히 설명하며, 소셜 엔지니어링(악성 스팸 및 피싱 캠페인) 및 원격 데스크톱 프로토콜(RDP)의 취약성 악용을 초기 감염 경로로 활용한다고 언급했습니다.

공격자들이 초기 접근을 얻은 후, 네트워크에 랜섬웨어를 확산시키는 PowerShell 스크립트를 배치 파일로 실행합니다. 탐지를 피하기 위해 MedusaLocker는 암호화 전에 중요한 파일을 제외한 모든 보안 프로세스를 종료합니다. 감염의 결과로, 모든 쉐도우 카피와 로컬 백업이 제거되고, 시작 시스템 복원 옵션이 종료됩니다.

피해자들은 데이터와 시스템에 접근하기 위해 비트코인으로 몸값을 지불하라는 몸값 노트를 받게 됩니다.

사이버 보안에 큰 포부가 있습니까? 에 가입하세요 위협 보상 프로그램 에 가입하여 세계 최대의 사이버 디펜스 커뮤니티의 일원이 되고, 위협 사냥과 탐지를 전 세계적으로 혁신하는 데 도움을 주십시오. Sigma 및 YARA 규칙을 작성하고 공유하여 반복적인 금전적 보상을 받고, SOC Prime과 함께 현재와 진화 중인 위협에 대한 싸움에 동참하세요!

목차

이 기사가 도움이 되었나요?

동료들과 좋아요를 누르고 공유하세요.
SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀하의 비즈니스와 가장 관련 있는 위협에 대한 가시성을 향상시키세요. 시작하고 즉각적인 가치를 창출하기 위해 지금 SOC Prime 전문가와의 미팅을 예약하세요.

관련 게시물