Замеченные еще в мае 2022 года, MedusaLocker преимущественно используют уязвимости в протоколе удаленного рабочего стола (RDP) для доступа к сетям жертв. Действующие лица MedusaLocker шифруют данные жертвы и оставляют в каждой папке, содержащей зашифрованный файл, записку с инструкциями по выкупу. В записке жертвам предлагается перечислить выкупные платежи на определенный адрес кошелька Bitcoin. MedusaLocker, по-видимому, работает по модели Ransomware-as-a-Service (RaaS) на основе наблюдаемого разделения платежей.
Типичные модели RaaS предполагают участие разработчика вымогательского ПО и различных аффилированных лиц, которые развертывают вымогательское ПО на системах жертв. Выплаты по выкупу MedusaLocker последовательно распределяются между филиалом, который получает 55-60% выкупа, и разработчиком, который получает оставшуюся часть.
MedusaLocker ransomware чаще всего получают доступ к устройствам жертв через уязвимые конфигурации протокола удаленного рабочего стола (RDP). В качестве начального вектора вторжения злоумышленники также часто используют фишинговые и спам-рассылки по электронной почте, непосредственно прикрепляя вымогательскую программу к письму.
Программа MedusaLocker ransomware использует пакетный файл для выполнения сценария PowerShell invoke-ReflectivePEInjection. Этот сценарий распространяет MedusaLocker по сети путем редактирования значения EnableLinkedConnections в реестре зараженной машины, что позволяет ей обнаруживать подключенные узлы и сети по протоколу Internet Control Message Protocol (ICMP) и определять общие хранилища по протоколу Server Message Block (SMB).
MedusaLocker Ransomware
MedusaLocker ransomware чаще всего получают доступ к устройствам жертв через уязвимые конфигурации протокола удаленного рабочего стола (RDP). Действующие лица также часто используют фишинговые и спам-рассылки по электронной почте, прикрепляя вымогательскую программу непосредственно к письму, в качестве первоначального вектора вторжения.
Программа MedusaLocker ransomware использует пакетный файл для выполнения сценария PowerShell invoke-ReflectivePEInjection. Этот сценарий распространяет MedusaLocker по сети путем редактирования значения EnableLinkedConnections в реестре зараженной машины, что позволяет зараженной машине обнаруживать подключенные узлы и сети по протоколу Internet Control Message Protocol (ICMP) и определять общие хранилища по протоколу Server Message Block (SMB).
Затем MedusaLocker:
- Перезапускает службу LanmanWorkstation, что позволяет изменениям в реестре вступить в силу.
- Убивает процессы известных программ безопасности, учета и криминалистики.
- Перезагружает компьютер в безопасном режиме, чтобы избежать обнаружения программ безопасности.
- Шифрует файлы жертвы алгоритмом шифрования AES-256; полученный ключ затем шифруется открытым ключом RSA-2048.
- Запускается каждые 60 секунд, шифруя все файлы, кроме критически важных для функциональности машины жертвы и тех, которые имеют обозначенное расширение зашифрованного файла.
- Обеспечивает устойчивость, копируя исполняемый файл (svhost.exe или svhostt.exe) в каталог %APPDATA%\Roaming и планируя задание на запуск ransomware каждые 15 минут.
- Попытки предотвратить стандартные методы восстановления путем удаления локальных резервных копий, отключения опций восстановления при запуске и удаления теневых копий.
MedusaLocker помещают записку с требованием выкупа в каждую папку, содержащую файл с зашифрованными данными жертвы. В записке описывается, как связаться с исполнителями MedusaLocker, обычно жертвам предоставляется один или несколько адресов электронной почты, по которым можно связаться с исполнителями. Размер выкупа, требуемого MedusaLocker, зависит от финансового состояния жертвы, как считают действующие лица.
Indicators of Compromise
URLs
- http://gvlay6u4g53rxdi5.onion/21-8P4ZLCsMTPaLw9MkSlXJsNZWdHe0rxjt-bET6JbB9vEMZ7qYBPqUMCxOQExFx4iOi
- http://gvlay6u4g53rxdi5.onion/21-8P4ZLCsMTPaLw9MkSlXJsNZWdHe0rxjt-DcaE9HeHywqSHvdcIwOndCS4PuWASX8g
- http://gvlay6u4g53rxdi5.onion/21-8P4ZLCsMTPaLw9MkSlXJsNZWdHe0rxjt-kB4rQXGKyxGiLyw7YDsMKSBjyfdwcyxo
- http://gvlay6u4g53rxdi5.onion/21-E6UQFCEuCn4KvtAh4TonRTpyHqFo6F6L-OWQwD1w1Td7hY7IGUUjxmHMoFSQW6blg
- http://gvlay6u4g53rxdi5.onion/21-E6UQFCEuCn4KvtAh4TonRTpyHqFo6F6L-Tj3PRnQlpHc9OftRVDGAWUulvE80yZbc
- http://gvlay6u4g53rxdi5.onion/21-E6UQFCEuCn4KvtAh4TonRTpyHqFo6F6L-uGHwkkWCoUtBbZWN50sSS4Ds8RABkrKy
- http://gvlay6u4g53rxdi5.onion/21-wIq5kK9gGKiTmyups1U6fABj1VnXIYRB-I5xek6PG2EbWlPC7C1rXfsqJBlWlFFfY
- http://gvlay6u4g53rxdi5.onion/2l-8P4ZLCsMTPaLw9MkSlXJsNZWdHeOrxjtE9lck1MuXPYo29daQys6gomZZXUImN7Z
- http://gvlay6u4g53rxdi5.onion/6-iSm1B1Ehljh8HYuXGym4Xyu1WdwsR2Av-6tXiw1BImsqoLh7pd207Rl6XYoln7sId
- http://gvlay6u4g53rxdi5.onion/8-gRp514hncgb1i1sjtD32hG6jTbUh1ocR-Uola2Fo30KTJvZX0otYZgTh5txmKwUNe
- http://gvlay6u4g53rxdi5.onion/8-grp514hncgblilsjtd32hg6jtbyhlocr5pqjswxfgf2oragnl3pqno6fkqcimqin
- http://gvlay6u4g53rxdi5.onion/8-Ww5sCBhsL8eM4PeAgsfgfa9lrqa81r31-tDQRZCAUe4164X532j9Ky16IBN9StWTH
- http://gvlay6y4g53rxdi5.onion/21-8P4ZLCsMETPaLw9MkSlXJsNZWdHe0rxjt-XmBgZLWlm5ULGFCOJFuVdEymmxysofwu
- http://medusacegu2ufmc3kx2kkqicrlcxdettsjcenhjena6uannk5f4ffuyd.onion/leakdata/paigesmusic-leakdata-closed-part1
Emails
- 107btc@protonmail.com
- 33btc@protonmail.com
- 777decoder777@protonmail.com
- 777decoder777@tfwno.gf
- andrewmiller-1974@protonmail.com
- angelomartin-1980@protonmail.com
- ballioverus@quocor.com
- beacon@jitjat.org
- beacon@msgsafe.io
- best666decoder@protonmail.com
- best666decoder@tutanota.com
- bitcoin@mobtouches.com
- bitcoin@sitesoutheat.com
- briansalgado@protonmail.com
- bugervongir@outlook.com
- cmd@jitjat.org
- coronaviryz@gmail.com
- dec_helper@dremno.com
- dec_helper@excic.com
- dec_restore@prontonmail.com
- dec_restore1@outlook.com
- decoder83540@cock.li
- decra2019@gmail.com
- diniaminius@winrof.com
- dirhelp@keemail.me
- emaila.elaich@iav.ac.ma
- emd@jitjat.org
- encrypt2020@cock.li
- encrypt2020@outlook.com
- fast-help@inbox.lv
- fuc_ktheworld1448@outlook.com
- fucktheworld1448@cock.li
- gartaganisstuffback@gmail.com
- gavingonzalez@protonmail.com
- gsupp@onionmail.org
- gsupp@techmail.info
- helper@atacdi.com
- helper@buildingwin.com
- helprestore@outlook.com
- helptorestore@outlook.com
- ithelp@decorous.cyou
- ithelp@decorous.cyoum
- ithelp@wholeness.business
- ithelp01@decorous.cyou
- ithelp01@wholeness.business
- ithelp02@decorous.cyou
- ithelp02@wholness.business
- ithelpresotre@outlook.com
- karloskolorado@tutanota.com
- kevynchaz@protonmail.com
- korona@bestkoronavirus.com
- lockPerfection@gmail.com
- mulierfagus@rdhos.com
- perfection@bestkoronavirus.com
- pool1256@tutanota.com
- rapid@aaathats3as.com
- rescuer@tutanota.com
- rewmiller-1974@protonmail.com
- rpd@keemail.me
- soterissylla@wyseil.com
- support@careersill.com
- support@exoprints.com
- support@exorints.com
- support@fanbridges.com
- support@faneridges.com
- support@imfoodst.com
- support@itwgset.com
- support@novibmaker.com
- support@securycasts.com
- support@ypsotecs.com
- traceytevin@protonmail.com
- unlock_file@aol.com
- unlock_file@outlook.com
- unlockfile@cock.li
- unlockmeplease@airmail.cc
- unlockmeplease@protonmail.com
- willyhill1960@protonmail.com
- willyhill1960@tutanota.com
- zlo@keem.ne
- zlo@keemail.me
- zlo@tfwno.gf
Payment Wallets
- 12xd6KrWVtgHEJHKPEfXwMVWuFK4k1FCUF
- 14cATAzXwD7CQf35n8Ea5pKJPfhM6jEHak
- 14oH2h12LvQ7BYBufcrY5vfKoCq2hTPoev
- 14oxnsSc1LZ5M2cPZeQ9rFnXqEvPCnZikc
- 184ZcAoxkvimvVZaj8jZFujC7EwR3BKWvf
- 18wRbb94CjyTGkUp32ZM7krCYCB9MXUq42
- 1AbRxRfP6yHePpi7jmDZkS4Mfpm1ZiatH5
- 1AereQUh8yjNPs9Wzeg1Le47dsqC8NNaNM
- 1DeNHM2eTqHp5AszTsUiS4WDHWkGc5UxHf
- 1DRxUFhvJjGUdojCzMWSLmwx7Qxn79XbJq
- 1DyMbw6R9PbJqfUSDcK5729xQ57yJrE8BC
- 1Edcufenw1BB4ni9UadJpQh9LVx9JGtKpP
- 1HdgQM9bjX7u7vWJnfErY4MWGBQJi5mVWV
- 1HEDP3c3zPwiqUaYuWZ8gBFdAQQSa6sMGw
- 1HZHhdJ6VdwBLCFhdu7kDVZN9pb3BWeUED
- 1nycdn9ebxht4tpspu4ehpjz9ghxlzipll
- 1PopeZ4LNLanisswLndAJB1QntTF8hpLsD
- 1PormUgPR72yv2FRKSVY27U4ekWMKobWjg
- bc1q9jg45a039tn83jk2vhdpranty2y8tnpnrk9k5q
- bc1qy34v0zv6wu0cugea5xjlxagsfwgunwkzc0xcjj
- bc1qz3lmcw4k58n79wpzm550r5pkzxc2h8rwmmu6xm