MedusaLocker Ransomware IOCs

Замеченные еще в мае 2022 года, MedusaLocker преимущественно используют уязвимости в протоколе удаленного рабочего стола (RDP) для доступа к сетям жертв. Действующие лица MedusaLocker шифруют данные жертвы и оставляют в каждой папке, содержащей зашифрованный файл, записку с инструкциями по выкупу. В записке жертвам предлагается перечислить выкупные платежи на определенный адрес кошелька Bitcoin. MedusaLocker, по-видимому, работает по модели Ransomware-as-a-Service (RaaS) на основе наблюдаемого разделения платежей.

Типичные модели RaaS предполагают участие разработчика вымогательского ПО и различных аффилированных лиц, которые развертывают вымогательское ПО на системах жертв. Выплаты по выкупу MedusaLocker последовательно распределяются между филиалом, который получает 55-60% выкупа, и разработчиком, который получает оставшуюся часть.

MedusaLocker ransomware чаще всего получают доступ к устройствам жертв через уязвимые конфигурации протокола удаленного рабочего стола (RDP). В качестве начального вектора вторжения злоумышленники также часто используют фишинговые и спам-рассылки по электронной почте, непосредственно прикрепляя вымогательскую программу к письму.
Программа MedusaLocker ransomware использует пакетный файл для выполнения сценария PowerShell invoke-ReflectivePEInjection. Этот сценарий распространяет MedusaLocker по сети путем редактирования значения EnableLinkedConnections в реестре зараженной машины, что позволяет ей обнаруживать подключенные узлы и сети по протоколу Internet Control Message Protocol (ICMP) и определять общие хранилища по протоколу Server Message Block (SMB).

MedusaLocker Ransomware

MedusaLocker ransomware чаще всего получают доступ к устройствам жертв через уязвимые конфигурации протокола удаленного рабочего стола (RDP). Действующие лица также часто используют фишинговые и спам-рассылки по электронной почте, прикрепляя вымогательскую программу непосредственно к письму, в качестве первоначального вектора вторжения.

Программа MedusaLocker ransomware использует пакетный файл для выполнения сценария PowerShell invoke-ReflectivePEInjection. Этот сценарий распространяет MedusaLocker по сети путем редактирования значения EnableLinkedConnections в реестре зараженной машины, что позволяет зараженной машине обнаруживать подключенные узлы и сети по протоколу Internet Control Message Protocol (ICMP) и определять общие хранилища по протоколу Server Message Block (SMB).

Затем MedusaLocker:

  • Перезапускает службу LanmanWorkstation, что позволяет изменениям в реестре вступить в силу.
  • Убивает процессы известных программ безопасности, учета и криминалистики.
  • Перезагружает компьютер в безопасном режиме, чтобы избежать обнаружения программ безопасности.
  • Шифрует файлы жертвы алгоритмом шифрования AES-256; полученный ключ затем шифруется открытым ключом RSA-2048.
  • Запускается каждые 60 секунд, шифруя все файлы, кроме критически важных для функциональности машины жертвы и тех, которые имеют обозначенное расширение зашифрованного файла.
  • Обеспечивает устойчивость, копируя исполняемый файл (svhost.exe или svhostt.exe) в каталог %APPDATA%\Roaming и планируя задание на запуск ransomware каждые 15 минут.
  • Попытки предотвратить стандартные методы восстановления путем удаления локальных резервных копий, отключения опций восстановления при запуске и удаления теневых копий.

MedusaLocker помещают записку с требованием выкупа в каждую папку, содержащую файл с зашифрованными данными жертвы. В записке описывается, как связаться с исполнителями MedusaLocker, обычно жертвам предоставляется один или несколько адресов электронной почты, по которым можно связаться с исполнителями. Размер выкупа, требуемого MedusaLocker, зависит от финансового состояния жертвы, как считают действующие лица.

Indicators of Compromise

URLs

  • http://gvlay6u4g53rxdi5.onion/21-8P4ZLCsMTPaLw9MkSlXJsNZWdHe0rxjt-bET6JbB9vEMZ7qYBPqUMCxOQExFx4iOi
  • http://gvlay6u4g53rxdi5.onion/21-8P4ZLCsMTPaLw9MkSlXJsNZWdHe0rxjt-DcaE9HeHywqSHvdcIwOndCS4PuWASX8g
  • http://gvlay6u4g53rxdi5.onion/21-8P4ZLCsMTPaLw9MkSlXJsNZWdHe0rxjt-kB4rQXGKyxGiLyw7YDsMKSBjyfdwcyxo
  • http://gvlay6u4g53rxdi5.onion/21-E6UQFCEuCn4KvtAh4TonRTpyHqFo6F6L-OWQwD1w1Td7hY7IGUUjxmHMoFSQW6blg
  • http://gvlay6u4g53rxdi5.onion/21-E6UQFCEuCn4KvtAh4TonRTpyHqFo6F6L-Tj3PRnQlpHc9OftRVDGAWUulvE80yZbc
  • http://gvlay6u4g53rxdi5.onion/21-E6UQFCEuCn4KvtAh4TonRTpyHqFo6F6L-uGHwkkWCoUtBbZWN50sSS4Ds8RABkrKy
  • http://gvlay6u4g53rxdi5.onion/21-wIq5kK9gGKiTmyups1U6fABj1VnXIYRB-I5xek6PG2EbWlPC7C1rXfsqJBlWlFFfY
  • http://gvlay6u4g53rxdi5.onion/2l-8P4ZLCsMTPaLw9MkSlXJsNZWdHeOrxjtE9lck1MuXPYo29daQys6gomZZXUImN7Z
  • http://gvlay6u4g53rxdi5.onion/6-iSm1B1Ehljh8HYuXGym4Xyu1WdwsR2Av-6tXiw1BImsqoLh7pd207Rl6XYoln7sId
  • http://gvlay6u4g53rxdi5.onion/8-gRp514hncgb1i1sjtD32hG6jTbUh1ocR-Uola2Fo30KTJvZX0otYZgTh5txmKwUNe
  • http://gvlay6u4g53rxdi5.onion/8-grp514hncgblilsjtd32hg6jtbyhlocr5pqjswxfgf2oragnl3pqno6fkqcimqin
  • http://gvlay6u4g53rxdi5.onion/8-Ww5sCBhsL8eM4PeAgsfgfa9lrqa81r31-tDQRZCAUe4164X532j9Ky16IBN9StWTH
  • http://gvlay6y4g53rxdi5.onion/21-8P4ZLCsMETPaLw9MkSlXJsNZWdHe0rxjt-XmBgZLWlm5ULGFCOJFuVdEymmxysofwu
  • http://medusacegu2ufmc3kx2kkqicrlcxdettsjcenhjena6uannk5f4ffuyd.onion/leakdata/paigesmusic-leakdata-closed-part1

Emails

  • 107btc@protonmail.com
  • 33btc@protonmail.com
  • 777decoder777@protonmail.com
  • 777decoder777@tfwno.gf
  • andrewmiller-1974@protonmail.com
  • angelomartin-1980@protonmail.com
  • ballioverus@quocor.com
  • beacon@jitjat.org
  • beacon@msgsafe.io
  • best666decoder@protonmail.com
  • best666decoder@tutanota.com
  • bitcoin@mobtouches.com
  • bitcoin@sitesoutheat.com
  • briansalgado@protonmail.com
  • bugervongir@outlook.com
  • cmd@jitjat.org
  • coronaviryz@gmail.com
  • dec_helper@dremno.com
  • dec_helper@excic.com
  • dec_restore@prontonmail.com
  • dec_restore1@outlook.com
  • decoder83540@cock.li
  • decra2019@gmail.com
  • diniaminius@winrof.com
  • dirhelp@keemail.me
  • emaila.elaich@iav.ac.ma
  • emd@jitjat.org
  • encrypt2020@cock.li
  • encrypt2020@outlook.com
  • fast-help@inbox.lv
  • fuc_ktheworld1448@outlook.com
  • fucktheworld1448@cock.li
  • gartaganisstuffback@gmail.com
  • gavingonzalez@protonmail.com
  • gsupp@onionmail.org
  • gsupp@techmail.info
  • helper@atacdi.com
  • helper@buildingwin.com
  • helprestore@outlook.com
  • helptorestore@outlook.com
  • ithelp@decorous.cyou
  • ithelp@decorous.cyoum
  • ithelp@wholeness.business
  • ithelp01@decorous.cyou
  • ithelp01@wholeness.business
  • ithelp02@decorous.cyou
  • ithelp02@wholness.business
  • ithelpresotre@outlook.com
  • karloskolorado@tutanota.com
  • kevynchaz@protonmail.com
  • korona@bestkoronavirus.com
  • lockPerfection@gmail.com
  • mulierfagus@rdhos.com
  • perfection@bestkoronavirus.com
  • pool1256@tutanota.com
  • rapid@aaathats3as.com
  • rescuer@tutanota.com
  • rewmiller-1974@protonmail.com
  • rpd@keemail.me
  • soterissylla@wyseil.com
  • support@careersill.com
  • support@exoprints.com
  • support@exorints.com
  • support@fanbridges.com
  • support@faneridges.com
  • support@imfoodst.com
  • support@itwgset.com
  • support@novibmaker.com
  • support@securycasts.com
  • support@ypsotecs.com
  • traceytevin@protonmail.com
  • unlock_file@aol.com
  • unlock_file@outlook.com
  • unlockfile@cock.li
  • unlockmeplease@airmail.cc
  • unlockmeplease@protonmail.com
  • willyhill1960@protonmail.com
  • willyhill1960@tutanota.com
  • zlo@keem.ne
  • zlo@keemail.me
  • zlo@tfwno.gf

Payment Wallets

  • 12xd6KrWVtgHEJHKPEfXwMVWuFK4k1FCUF
  • 14cATAzXwD7CQf35n8Ea5pKJPfhM6jEHak
  • 14oH2h12LvQ7BYBufcrY5vfKoCq2hTPoev
  • 14oxnsSc1LZ5M2cPZeQ9rFnXqEvPCnZikc
  • 184ZcAoxkvimvVZaj8jZFujC7EwR3BKWvf
  • 18wRbb94CjyTGkUp32ZM7krCYCB9MXUq42
  • 1AbRxRfP6yHePpi7jmDZkS4Mfpm1ZiatH5
  • 1AereQUh8yjNPs9Wzeg1Le47dsqC8NNaNM
  • 1DeNHM2eTqHp5AszTsUiS4WDHWkGc5UxHf
  • 1DRxUFhvJjGUdojCzMWSLmwx7Qxn79XbJq
  • 1DyMbw6R9PbJqfUSDcK5729xQ57yJrE8BC
  • 1Edcufenw1BB4ni9UadJpQh9LVx9JGtKpP
  • 1HdgQM9bjX7u7vWJnfErY4MWGBQJi5mVWV
  • 1HEDP3c3zPwiqUaYuWZ8gBFdAQQSa6sMGw
  • 1HZHhdJ6VdwBLCFhdu7kDVZN9pb3BWeUED
  • 1nycdn9ebxht4tpspu4ehpjz9ghxlzipll
  • 1PopeZ4LNLanisswLndAJB1QntTF8hpLsD
  • 1PormUgPR72yv2FRKSVY27U4ekWMKobWjg
  • bc1q9jg45a039tn83jk2vhdpranty2y8tnpnrk9k5q
  • bc1qy34v0zv6wu0cugea5xjlxagsfwgunwkzc0xcjj
  • bc1qz3lmcw4k58n79wpzm550r5pkzxc2h8rwmmu6xm
SEC-1275-1
Добавить комментарий