Il Federal Bureau of Investigation (FBI), la Cybersecurity and Infrastructure Security Agency (CISA), il Dipartimento del Tesoro statunitense e la Financial Crimes Enforcement Network (FinCEN) hanno pubblicato un Cybersecurity Advisory (CSA) congiunto per fornire i dettagli sul ransomware “MedusaLocker”.
Le fasi dell’attacco prevedono lo sfruttamento prevalentemente delle vulnerabilità note presenti nel Remote Desktop Protocol (RDP) per accedere alle reti delle vittime. Successivamente il malware crittografa i dati della vittima e rilascia una richiesta di riscatto con le istruzioni per procedere al pagamento.
MedusaLocker sembra funzionare come un modello Ransomware-as-a-Service (RaaS) basato sulla suddivisione osservata dei pagamenti del riscatto. I modelli RaaS tipici coinvolgono lo sviluppatore di ransomware e vari affiliati che distribuiscono il ransomware sui sistemi delle vittime. I pagamenti del ransomware MedusaLocker sembrano essere costantemente suddivisi tra l’affiliato, che riceve dal 55 al 60% del riscatto, e lo sviluppatore, che riceve il resto, si legge nel CSA pubblicato.
Ottenuto accesso al dispositivo target, il codice malevolo provvede ad eseguire le seguenti attività:
- utilizza lo script powershell “invoke-ReflectivePEInjection” al fine di propagare MedusaLocker su eventuali sistemi vulnerabili presenti all’interno della rete target;
- modifica, sulle macchine infette, la chiave di registro “EnableLinkedConnections” al fine di rilevare ulteriori host, reti e risorse condivise tramite il protocollo Server Message Block (SMB) presenti nella rete;
- riavvia il servizio “LanmanWorkstation”;
- arresta eventuali software di sicurezza noti presenti sul dispositivo;
- riavvia il dispositivo in modalità provvisoria per evitare l’individuazione;
- cifra i file non critici per l’esecuzione del sistema tramite l’algoritmo AES-256 e la chiave di decrittazione tramite l’algoritmo RSA-2048;
- ottiene la persistenza impostando una pianificazione automatica (ogni 15 minuti) che prevede l’esecuzione di versioni opportunamente predisposte degli eseguibili “svhost.exe” e “svhostt.exe”, depositati nel path %APPDATA%\Roaming;
- tenta di prevenire l’utilizzo di meccanismi di backup, eliminando eventuali copie locali, copie shadow e disabilitando l’opzione di ripristino del sistema all’avvio.
Al termine della propria esecuzione, MedusaLocker inserisce in ogni cartella contenente file crittografati una nota di riscatto con le istruzioni per interagire con gli attaccanti e l’ammontare della somma da pagare in criptovaluta.
FBI, CISA, Dipartimento del Tesoro statunitense e FinCEN raccomandano di implementare le misure di mitigazione descritte nel proprio CSA, che includono la richiesta di autenticazione a più fattori (MFA), l’implementazione della segmentazione della rete e il mantenimento di sistemi operativi e software aggiornati, nonché si raccomanda ulteriormente di valutare l’implementazione sui propri apparati di sicurezza degli Indicatori di Compromissione (IoC) presenti all’interno del Cybersecurity Advisory, seguendo le indicazioni fornite da CISA.
