Detecção de Ransomware MedusaLocker: Autoridades Federais Lançam uma CSA Conjunta

O ransomware MedusaLocker surgiu pela primeira vez em setembro de 2019 e tem impactado uma ampla gama de indústrias e organizações, principalmente na área de saúde, desde então.

Assumindo como os adversários dividem o dinheiro do resgate, o MedusaLocker parece ser operado como um RaaS. Fontes afirmam que os pagamentos para o ransomware parecem ser divididos entre o afiliado e o desenvolvedor, com o primeiro recebendo a maior parte.

Na recente onda de ataques, o grupo de ameaça MedusaLocker lançou campanhas enviando e-mails maliciosos não solicitados, bem como ataques de força bruta RDP para invadir redes-alvo. Em seguida, aconteceu a criptografia dos dados comprometidos e a nota de resgate instruindo os próximos passos, incluindo o pagamento do resgate em criptomoeda (Bitcoin).

Detectar Ransomware MedusaLocker

Para ajudar as organizações a detectar atividade maliciosa relacionada ao MedusaLocker, novos e atuais usuários da plataforma Detection as Code da SOC Prime podem baixar regras Sigma dedicadas criadas por nosso desenvolvedor Threat Bounty, Nattatorn Chuensangarun:

Conteúdo de Detecção para Ransomware MedusaLocker

O conjunto de regras dedicado está disponível para mais de 25 plataformas SIEM, EDR & XDR, alinhado com a framework MITRE ATT&CK® v.10.

The Detectar & Caçar O botão levará você ao repositório de detecções associadas a ataques de ransomware. A biblioteca da SOC Prime é constantemente atualizada com novos conteúdos, empoderada pela abordagem colaborativa de defesa cibernética e habilitada pelo modelo Follow the Sun (FTS) para garantir a entrega oportuna de detecções para ameaças críticas como resposta ao grande aumento no número de ocorrências de ransomware. Clique no Explorar Contexto da Ameaça botão para acessar detecções relacionadas ao ransomware MedusaLocker usando o mecanismo de busca da SOC Prime para Detecção de Ameaças, Caça de Ameaças e CTI.

Detectar & Caçar Explorar Contexto da Ameaça

Análise de Ransomware MedusaLocker

O FBI, CISA, FinCEN e o Departamento do Tesouro, emitiram uma consulta conjunta de cibersegurança (CSA) a respeito do aumento da atividade do grupo de ransomware MedusaLocker. O CSA detalha os últimos ataques lançados pelos atores do MedusaLocker no final da primavera de 2022. De acordo com o comunicado, os hackers empregam tais vetores iniciais de infecção como engenharia social (campanhas de malspam e phishing) e exploração de vulnerabilidades no Protocolo de Área de Trabalho Remota (RDP).

Uma vez que os atacantes tenham adquirido acesso inicial, um script PowerShell que espalha o ransomware pela rede é executado usando um arquivo batch. Para permanecer indetectável, o MedusaLocker mata todos os processos de segurança antes de criptografar arquivos que não são essenciais para o dispositivo invadido operar. Como resultado da infecção, todas as cópias de sombra e backups locais são removidos, bem como as opções de restauração do sistema na inicialização são encerradas.

As vítimas ficam com uma nota de resgate, instando o pagamento em Bitcoin para recuperar o acesso aos seus dados e sistemas.

Tem grandes ambições em cibersegurança? Junte-se ao Programa de Ameaças Bounty para fazer parte da maior comunidade do mundo de defensores cibernéticos e nos ajude a transformar a caça e detecção de ameaças em todo o mundo. Crie e compartilhe suas regras Sigma e YARA, receba recompensas monetárias recorrentes e entre na luta contra ameaças atuais e em evolução com a SOC Prime!