Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Medusa ransomware. La nuova cybergang che strizza l’occhio a LockBit

Redazione RHC : 9 Marzo 2023 10:19

La cyber-gang emergente chiamata MedusaLocker (o Medusa ransomware), scoperta per la prima volta a maggio del 2022, inizia a riempire con costanza il suo Data Leak Site (DLS) con aziende violate.

Si affidano prevalentemente alle configurazioni errate di Remote Desktop Protocol (RDP) per accedere alle reti delle vittime e crittografa i dati lasciando una nota di riscatto con le istruzioni in ogni cartella contenente un file crittografato.

Questo fa comprendere che ancora oggi ci sono moltissime aziende che lasciano le interfacce di amministrazione dei server esposte su internet, cosa che non dovrebbe ma essere fatta se non dietro ad una VPN costantemente monitorata ed aggiornata.

Vuoi diventare un Ethical Hacker?
Non perdere i nostri corsi e scrivi subito su WhatsApp al numero
375 593 1011  per richiedere informazioni dicendo che hai trovato il numero sulle pagine di Red Hot Cyber

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

La nota invita le vittime a fornire pagamenti ransomware a uno specifico indirizzo di portafoglio Bitcoin.

MedusaLocker sembra funzionare come un modello Ransomware-as-a-Service (RaaS) basato sulla suddivisione dei pagamenti del riscatto. I tipici modelli RaaS coinvolgono lo sviluppatore del ransomware e vari affiliati che distribuiscono il ransomware sui sistemi delle vittime.


Scopri il ransomware con gli articoli di RHC
Il ransomware sta sempre più diventando un minaccia per aziende pubbliche e private, dove in Italia sta dilagando mietendo vittime giorno dopo giorno. Il ransomware è un tipo di malware che cifra l’infrastruttura IT di una organizzazione rendendola inutilizzabile chiedendo un riscatto per poterla sbloccare minacciando la pubblicazione dei dati. Scopriamo con precisione che cosa è il ransomware con gli articoli di Red Hot Cyber

I pagamenti del ransomware MedusaLocker sembrano essere suddivisi tra l’affiliato, che riceve dal 55 al 60 percento del riscatto; e lo sviluppatore, che riceve il resto.

Tecniche, tattiche e procedure

Gli attori del ransomware MedusaLocker molto spesso ottengono l’accesso ai dispositivi delle vittime attraverso dei RDP (Remote Desktop Protocol) vulnerabili. Gli attori utilizzano spesso anche campagne e-mail di phishing e spam, allegando direttamente il ransomware all’e-mail, come vettori iniziali di intrusione.

MedusaLocker ransomware utilizza un file batch per eseguire lo script PowerShell invoke-ReflectivePEInjection. Questo script propaga MedusaLocker in tutta la rete modificando il valore EnableLinkedConnections all’interno del registro della macchina infetta, che quindi consente alla macchina di rilevare host e le reti collegate tramite ICMP (Internet Control Message Protocol) e di rilevare l’archiviazione condivisa tramite il protocollo Server Message Block (SMB) . 

A quel punto il malware: 

  • Riavvia il servizio LanmanWorkstations, che consente di rendere effettive le modifiche al registro; 
  • Uccide i processi di noti software di sicurezza; 
  • Riavvia la macchina in modalità provvisoria per evitare il rilevamento da parte del software di sicurezza;
  • Crittografa i file delle vittime con l’algoritmo di crittografia AES-256; la chiave risultante viene quindi crittografata con una chiave pubblica RSA-2048;
  • Viene eseguito ogni 60 secondi, crittografando tutti i file tranne quelli critici per la funzionalità della macchina della vittima e quelli che hanno l’estensione di file crittografata designata;
  • Stabilisce la persistenza copiando un eseguibile (svhost.exesvhostt.exe) nella directory %APPDATA%\Roaming e programmando un’attività per eseguire il ransomware ogni 15 minuti;
  • Tenta di impedire le tecniche di ripristino standard eliminando i backup locali, disabilitando le opzioni di ripristino all’avvio ed eliminando le copie shadow.

Gli attori di MedusaLocker inseriscono una richiesta di riscatto in ogni cartella contenente un file con i dati crittografati della vittima. La nota delinea come comunicare con gli attori di MedusaLocker, in genere fornendo alle vittime uno o più indirizzi e-mail a cui gli attori possono essere raggiunti. 

La dimensione delle richieste di riscatto di MedusaLocker sembra variare a seconda della situazione finanziaria della vittima percepita dagli attori della minaccia.

La nota di riscatto

La nota di riscatto dice che la rete è stata violata e i dati sono stati copiati. Gli aggressori affermano di essere penetrati nell’intera rete e di aver avuto accesso a tutti i dati. 

Secondo la richiesta di riscatto, gli aggressori hanno crittografato tutti i file sulla rete utilizzando un algoritmo di crittografia di livello militare. 

La vittima non può decifrare i file senza il loro aiuto. Gli aggressori si offrono di decrittografare i file se la vittima li contatta tramite live chat e paga per lo strumento e le chiavi di decrittazione.

Schermata che compare sopra i PC che sono stati crittografati da Medusa Ransomware

La nota di riscatto avverte anche che se la vittima non paga il riscatto entro tre giorni, tutti i dati saranno resi pubblici. Fornisce istruzioni su come contattare i criminali informatici tramite la loro live chat, il programma Tox Chat e l’e-mail di supporto.

Richiesta di riscatto di Medusa ransomware

Il data leak site (DLS)

Un data leak site di una gang ransomware è un sito web che viene utilizzato dagli attaccanti per pubblicare i dati rubati delle vittime che non hanno pagato il riscatto richiesto. In altre parole, se un’azienda o un’organizzazione è stata colpita da un attacco ransomware e non ha pagato il riscatto, i dati rubati vengono pubblicati su questo sito web, dove possono essere visualizzati e scaricati da chiunque, inclusi i concorrenti dell’azienda, i media e altre organizzazioni malintenzionate.

Questi siti web di sono spesso gestiti dalle gang ransomware come mezzo per fare pressione sulle loro vittime per pagare il riscatto richiesto. Medusa non effettua pubblicazioni parziali dei dati, pertanto quando pubblica, pubblica interamente le informazioni esfiltrate dall’azienda violata.

Home page del data leak site di Medusa ransomware

Va da se che una parte di queste informazioni possono essere rivendute privatamente o tramite delle aste private. Nello specifico, il data leak site di Medusa, raffigura le violazioni attraverso una timeline che riporta le violazioni nel tempo.

E’ presente l nome dell’azienda colpita, il relativo countdown, la data di pubblicazione e il numero di visualizzazioni dell’avviso. Accedendo all’interno di un post invece è possibile vedere in dettagli la violazione e nel caso di pubblicazione dei dati e il file browser per poter scaricare i file pubblicati.

File Explorer presente all’interno del Data Leak Site di Medusa

Nello specifico, Medusa ransomware ha copiato le stesse tattiche di estorsione della famigerata cybergang LockBit introducendo il pagamento per l’estensione del countdown, per la cancellazione dei dati e per il download dei dati stessi.

Dettagli di un avviso sul Data Leak Site di Medusa Ransomware

Indicatori di compromissione

SHA-256MD5SHA-1
e70a261143213e70ffa10643e17b5890443bd2b159527cd2c408dea989a17cfc30e71d452761fbe75d9c8648b61249c3a35dd292647db3cb7bf60449732fc5f12162f39e
fb07649497b39eee0a93598ff66f14a1f7625f2b6d4c30d8bb5c48de848cd4f2217b5b689dca5aa0026401bffc8d307986d92fc3ba2b3536893b8e753da9cbae70063a50
ed139beb506a17843c6f4b631afdf5a41ec93121da66d142b412333e628b9db847d222dd2ac5741433451c8acaac75bd02a0ea73ccc55c0236aa1b4ab590f11787e3586e
a8b84ab6489fde1fab987df27508abd7d4b30d06ab854b5fda37a277e89a25584293f5b9957dc9e61247e6e1149e4c0fc87cd85d434e358b85f94cad098aa1f653d9cdbf
4ae110bb89ddcc45bb2c4e980794195ee5eb85b5261799caedef7334f0f57cc482143033173cbeee7f559002fb8ab8c5e03aedb8b9770f899a29f1939636db43825e95cf

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.