La Oficina Federal de Investigaciones (FBI), la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), el Departamento del Tesoro y la Red de Ejecución de Delitos Financieros (FinCEN) han publicado información sobre el ransomware MedusaLocker observado recientemente en América Latina.

Medusa es una variante de malware antigua (que no debe confundirse con el troyano de Android del mismo nombre) que se anuncia en los mercados de darknet desde 2015, que luego agregó capacidades DDoS basadas en HTTP en 2017. La empresa Cyble ha dicho que esta nueva variante que es la continuación de esa antigua variedad de malware. Su versión más reciente se basa en el código fuente filtrado de la red de bots Mirai, que hereda sus capacidades de orientación a Linux y sus amplias opciones de ataque DDoS.

Además, Medusa ahora se promociona como MaaS (malware como servicio) para DDoS o minería a través de un portal dedicado. Promete estabilidad del servicio, anonimato del cliente, soporte, una API fácil de usar y costo ajustable según las necesidades específicas. Lo que es particularmente interesante en esta nueva variante de Medusa es una función de ransomware que le permite buscar en todos los directorios tipos de archivos válidos para el cifrado. La lista de tipos de archivos de destino incluye principalmente documentos y archivos de diseño vectorial.

Los actores de MedusaLocker dependen predominantemente de vulnerabilidades en el Protocolo de escritorio remoto (RDP) para acceder a las redes de las víctimas y cifrar los datos. Luego  dejan una nota de rescate con instrucciones de comunicación en cada carpeta que contiene un archivo cifrado. La nota indica a las víctimas que proporcionen pagos de ransomware a una dirección de billetera Bitcoin específica.

MedusaLocker parece operar como un modelo de Ransomware-as-a-Service (RaaS) basado en la división observada de los pagos de rescate. Los modelos típicos de RaaS involucran al desarrollador de ransomware y varios afiliados que implementan el ransomware en los sistemas de las víctimas. Los pagos del ransomware MedusaLocker parecen dividirse constantemente entre el afiliado, que recibe del 55 al 60 por ciento del rescate; y el promotor, que recibe el resto.

Este anuncio de seguridad conjunto es parte de un esfuerzo continuo #StopRansomware para publicar avisos para los administradores de la red y detallan varias variantes de ransomware y actores de amenazas. Estos avisos incluyen tácticas, técnicas y procedimientos (TTP) observados recientemente e históricamente e indicadores de compromiso (IoC) para ayudar a las organizaciones a protegerse contra el ransomware. Se puede visitar stopransomware.gov para ver todos los avisos y obtener más información sobre otras amenazas de ransomware y recursos gratuitos.

Detalles técnicos de MedusaLocker

Los actores del ransomware MedusaLocker a menudo obtienen acceso a los dispositivos de las víctimas a través de configuraciones vulnerables del Protocolo de escritorio remoto (RDP). Los actores también utilizan con frecuencia campañas de correo electrónico no deseado y phishing por correo electrónico (adjuntando directamente el ransomware al correo electrónico) como vectores de intrusión inicial.

El ransomware MedusaLocker utiliza un archivo por lotes para ejecutar el script de PowerShell invoke-ReflectivePEInjection. Este script propaga MedusaLocker a través de la red al editar el valor de EnableLinkedConnections dentro del registro de la máquina infectada, lo que luego permite que la máquina infectada detecte hosts y redes conectados a través de ICMP y SMB.

MedusaLocker entonces:

• Reinicia el servicio LanmanWorkstation, lo que permite que surtan efecto las ediciones del registro.
• Elimina los procesos de software forense, contable y de seguridad conocido.
• Reinicia la máquina en modo seguro para evitar la detección por parte del software de seguridad.
• Cifra los archivos de las víctimas con el algoritmo de cifrado AES-256; la clave resultante se cifra luego con una clave pública RSA-2048.
• Se ejecuta cada 60 segundos, cifrando todos los archivos excepto aquellos críticos para la funcionalidad de la máquina de la víctima y aquellos que tienen la extensión de archivo designados.
• Establece la persistencia copiando un ejecutable (svhost.exe o svhostt.exe) en el directorio %APPDATA%\Roaming y programando una tarea para ejecutar el ransomware cada 15 minutos.
• Intenta evitar las técnicas de recuperación estándar mediante la eliminación de copias de seguridad locales, la desactivación de las opciones de recuperación de inicio y la eliminación de instantáneas.
• Los actores de MedusaLocker colocan una nota de rescate en cada carpeta que contiene un archivo con los datos cifrados de la víctima. La nota describe cómo comunicarse con los actores de MedusaLocker, por lo general proporciona a las víctimas una o más direcciones de correo electrónico en las que se puede contactar a los actores.
• El tamaño de las demandas de rescate de MedusaLocker parece variar según el estado financiero de la víctima según lo perciben los actores.

Sin embargo, el método de cifrado parece no funcionar, convirtiendo el ransomware en un limpiador de datos (wiper). Después de cifrar los archivos en el dispositivo, el malware "duerme" durante 86.400 segundos (24 horas) y elimina todos los archivos de las unidades del sistema. Solo después de eliminar los archivos, muestra una nota de rescate que solicita el pago de 0,5 BTC (11 400 USD), lo que es contrario a la intuición para un intento de extorsión exitoso.

Cyble cree que se trata de un error en el código, ya que la destrucción de las unidades del sistema hace imposible que las víctimas usen sus sistemas y lean la nota de rescate. Este error también indica que la nueva variante de Medusa, o al menos esta característica, aún está en desarrollo.

Vale la pena señalar que, si bien la nueva versión de Medusa presenta una herramienta de exfiltración de datos, no roba los archivos de los usuarios antes del cifrado. En cambio, se enfoca en recopilar información básica del sistema que ayuda a identificar a las víctimas y estimar los recursos que se pueden usar para la minería y los ataques DDoS.

En el sitio web de CISA se pueden ver los IoC de este ransomware.

Fuente: CISA