Эксперты по кибербезопасности выявили обновленную версию ransomware (программы-вымогателя) Medusa Locker, использующую сложные методы шифрования и тактики уклонения от обнаружения. Угроза демонстрирует признаки постоянного развития и представляет серьезную опасность для корпоративных сетей.
Описание
Семейство вредоносных программ Medusa Locker впервые появилось в сентябре 2019 года и продолжает активно развиваться. Анализ последнего образца показывает, что злоумышленники используют уязвимые конфигурации протокола удаленного рабочего стола (RDP) для получения доступа к системам жертв. Дополнительными векторами начального проникновения остаются фишинговые рассылки по электронной почте и спам-кампании, когда вредоносное ПО прикрепляется непосредственно к письмам.
После проникновения в систему Medusa Locker шифрует данные жертв и оставляет требования о выкупе в каждом каталоге с зашифрованными файлами. В сообщениях содержится инструкция по перечислению платежа на указанный биткойн-кошелек. Наблюдаемое распределение выплат указывает на работу по модели RaaS (ransomware-as-a-service, вымогательство как услуга), где разработчики ПО сотрудничают с партнерами, которые развертывают вредоносное ПО на системах жертв. Аналитики отмечают, что выплаты в рамках Medusa Locker стабильно распределяются между партнерами, которые получают 55-60% от суммы выкупа, в то время как разработчикам достается оставшаяся часть.
Технические характеристики и механизмы работы
Обнаруженный образец bh538.exe представляет собой 64-битное исполняемое файл размером 1,72 МБ, скомпилированное с помощью Microsoft Visual C/C++. Файл использует расширение .blackheart588 для зашифрованных данных и оставляет файл с требованиями read_to_decrypt_files.html.
Процесс шифрования реализует sophisticated технику полосового шифрования, где каждая полоса составляет 1136023 байта, а общий объем шифрования ограничен 3853566 байтами. Алгоритм использует комбинацию ChaCha20 для генерации случайных ключей и RSA для защиты этих ключей.
Перед началом шифрования вредоносное ПО выполняет серию команд, направленных на устранение возможностей восстановления системы. Это включает принудительное завершение процессов, связанных с базами данных и службами резервного копирования, удаление теневых копий томов через vssadmin.exe, очистку резервных копий с помощью wbadmin и изменение параметров загрузки системы через bcdedit.exe.
Механизмы обеспечения устойчивости и распространения
Medusa Locker включает несколько функций для поддержания присутствия в системе и эффективного распространения. Программа добавляет себя в автозагрузку через функцию add_to_startup, очищает корзину с помощью clear_recycle_bin и может заменять фоновое изображение рабочего стола, хотя в текущей конфигурации эта функция отключена.
Для сканирования и шифрования файлов используется многопоточная архитектура с максимальным количеством потоков до 32. Реализован интеллектуальный механизм управления очередями и динамической балансировки нагрузки, который отслеживает использование CPU и автоматически регулирует количество активных потоков для избежания перегрузки системы.
Система исключает из процесса шифрования определенные каталоги, включая системные пути и директории производителей оборудования, а также файлы с определенными расширениями, такими как .dll и .sys, чтобы обеспечить стабильную работу системы после шифрования.
Инфраструктура и коммуникации
Medusa Locker поддерживает две основные точки присутствия в даркнете: блог и чат-комнату. Блог содержит контакты через протокол Tox и публикует информацию о жертвах, включая подробные данные об утечке и требованиях выкупа. Чат-система требует ввода идентификатора и контактного email, поддерживает загрузку зашифрованного файла для тестирования и создает приватную комнату для общения между жертвой и операторами вымогателя.
Для связи предлагаются два электронных адреса: [email protected] и [email protected], а также доступ через Tor-сеть по указанному .onion-адресу. Сообщение с требованиями выкупа оформлено как официальное уведомление о нарушении безопасности и содержит подробный отчет о потенциальных регуляторных последствиях утечки данных в различных юрисдикциях, включая штрафы по GDPR в ЕС, HIPAA в США и законодательству о защите данных в Азиатско-Тихоокеанском регионе.
Рекомендации по защите
Специалисты по безопасности рекомендуют организациям усилить защиту RDP-сервисов, внедрить строгие политики управления электронной почтой для противодействия фишинговым атакам и регулярно обновлять системы резервного копирования с изолированием копий от основной сети. Мониторинг подозрительной активности, связанной с остановкой служб баз данных и удалением теневых копий, может помочь в раннем обнаружении атак подобного типа.
Отсутствие бесплатного дешифратора и сложная криптографическая схема делают восстановление данных без оплаты выкупа крайне затруднительным, что подчеркивает важность превентивных мер защиты и надежных процедур восстановления после инцидентов.
Индикаторы компрометации
Emails
MD5
- 7d64ffeb603fbe96a4b47982e2a1dd3f
SHA1
- f983c9e9216ad026edad6accb8962d90f8230019
SHA256
- ca4dfe28e1f18a1b8e0bcd825abe129ab46031ba4faed8777bc95da67371d83d
