MedusaLocker Ransomware IOCs

Замеченные еще в мае 2022 года, MedusaLocker преимущественно используют уязвимости в протоколе удаленного рабочего стола (RDP) для доступа к сетям жертв. Действующие лица MedusaLocker шифруют данные жертвы и оставляют в каждой папке, содержащей зашифрованный файл, записку с инструкциями по выкупу. В записке жертвам предлагается перечислить выкупные платежи на определенный адрес кошелька Bitcoin. MedusaLocker, по-видимому, работает по модели Ransomware-as-a-Service (RaaS) на основе наблюдаемого разделения платежей.

Оглавление

Типичные модели RaaS предполагают участие разработчика вымогательского ПО и различных аффилированных лиц, которые развертывают вымогательское ПО на системах жертв. Выплаты по выкупу MedusaLocker последовательно распределяются между филиалом, который получает 55-60% выкупа, и разработчиком, который получает оставшуюся часть.

MedusaLocker ransomware чаще всего получают доступ к устройствам жертв через уязвимые конфигурации протокола удаленного рабочего стола (RDP). В качестве начального вектора вторжения злоумышленники также часто используют фишинговые и спам-рассылки по электронной почте, непосредственно прикрепляя вымогательскую программу к письму.
Программа MedusaLocker ransomware использует пакетный файл для выполнения сценария PowerShell invoke-ReflectivePEInjection. Этот сценарий распространяет MedusaLocker по сети путем редактирования значения EnableLinkedConnections в реестре зараженной машины, что позволяет ей обнаруживать подключенные узлы и сети по протоколу Internet Control Message Protocol (ICMP) и определять общие хранилища по протоколу Server Message Block (SMB).

MedusaLocker Ransomware

MedusaLocker ransomware чаще всего получают доступ к устройствам жертв через уязвимые конфигурации протокола удаленного рабочего стола (RDP). Действующие лица также часто используют фишинговые и спам-рассылки по электронной почте, прикрепляя вымогательскую программу непосредственно к письму, в качестве первоначального вектора вторжения.

Программа MedusaLocker ransomware использует пакетный файл для выполнения сценария PowerShell invoke-ReflectivePEInjection. Этот сценарий распространяет MedusaLocker по сети путем редактирования значения EnableLinkedConnections в реестре зараженной машины, что позволяет зараженной машине обнаруживать подключенные узлы и сети по протоколу Internet Control Message Protocol (ICMP) и определять общие хранилища по протоколу Server Message Block (SMB).

Затем MedusaLocker:

Перезапускает службу LanmanWorkstation, что позволяет изменениям в реестре вступить в силу.
Убивает процессы известных программ безопасности, учета и криминалистики.
Перезагружает компьютер в безопасном режиме, чтобы избежать обнаружения программ безопасности.
Шифрует файлы жертвы алгоритмом шифрования AES-256; полученный ключ затем шифруется открытым ключом RSA-2048.
Запускается каждые 60 секунд, шифруя все файлы, кроме критически важных для функциональности машины жертвы и тех, которые имеют обозначенное расширение зашифрованного файла.
Обеспечивает устойчивость, копируя исполняемый файл (svhost.exe или svhostt.exe) в каталог %APPDATA%\Roaming и планируя задание на запуск ransomware каждые 15 минут.
Попытки предотвратить стандартные методы восстановления путем удаления локальных резервных копий, отключения опций восстановления при запуске и удаления теневых копий.

MedusaLocker помещают записку с требованием выкупа в каждую папку, содержащую файл с зашифрованными данными жертвы. В записке описывается, как связаться с исполнителями MedusaLocker, обычно жертвам предоставляется один или несколько адресов электронной почты, по которым можно связаться с исполнителями. Размер выкупа, требуемого MedusaLocker, зависит от финансового состояния жертвы, как считают действующие лица.

Indicators of Compromise

URLs

http://gvlay6u4g53rxdi5.onion/21-8P4ZLCsMTPaLw9MkSlXJsNZWdHe0rxjt-bET6JbB9vEMZ7qYBPqUMCxOQExFx4iOi
http://gvlay6u4g53rxdi5.onion/21-8P4ZLCsMTPaLw9MkSlXJsNZWdHe0rxjt-DcaE9HeHywqSHvdcIwOndCS4PuWASX8g
http://gvlay6u4g53rxdi5.onion/21-8P4ZLCsMTPaLw9MkSlXJsNZWdHe0rxjt-kB4rQXGKyxGiLyw7YDsMKSBjyfdwcyxo
http://gvlay6u4g53rxdi5.onion/21-E6UQFCEuCn4KvtAh4TonRTpyHqFo6F6L-OWQwD1w1Td7hY7IGUUjxmHMoFSQW6blg
http://gvlay6u4g53rxdi5.onion/21-E6UQFCEuCn4KvtAh4TonRTpyHqFo6F6L-Tj3PRnQlpHc9OftRVDGAWUulvE80yZbc
http://gvlay6u4g53rxdi5.onion/21-E6UQFCEuCn4KvtAh4TonRTpyHqFo6F6L-uGHwkkWCoUtBbZWN50sSS4Ds8RABkrKy
http://gvlay6u4g53rxdi5.onion/21-wIq5kK9gGKiTmyups1U6fABj1VnXIYRB-I5xek6PG2EbWlPC7C1rXfsqJBlWlFFfY
http://gvlay6u4g53rxdi5.onion/2l-8P4ZLCsMTPaLw9MkSlXJsNZWdHeOrxjtE9lck1MuXPYo29daQys6gomZZXUImN7Z
http://gvlay6u4g53rxdi5.onion/6-iSm1B1Ehljh8HYuXGym4Xyu1WdwsR2Av-6tXiw1BImsqoLh7pd207Rl6XYoln7sId
http://gvlay6u4g53rxdi5.onion/8-gRp514hncgb1i1sjtD32hG6jTbUh1ocR-Uola2Fo30KTJvZX0otYZgTh5txmKwUNe
http://gvlay6u4g53rxdi5.onion/8-grp514hncgblilsjtd32hg6jtbyhlocr5pqjswxfgf2oragnl3pqno6fkqcimqin
http://gvlay6u4g53rxdi5.onion/8-Ww5sCBhsL8eM4PeAgsfgfa9lrqa81r31-tDQRZCAUe4164X532j9Ky16IBN9StWTH
http://gvlay6y4g53rxdi5.onion/21-8P4ZLCsMETPaLw9MkSlXJsNZWdHe0rxjt-XmBgZLWlm5ULGFCOJFuVdEymmxysofwu
http://medusacegu2ufmc3kx2kkqicrlcxdettsjcenhjena6uannk5f4ffuyd.onion/leakdata/paigesmusic-leakdata-closed-part1

Emails

Payment Wallets

12xd6KrWVtgHEJHKPEfXwMVWuFK4k1FCUF
14cATAzXwD7CQf35n8Ea5pKJPfhM6jEHak
14oH2h12LvQ7BYBufcrY5vfKoCq2hTPoev
14oxnsSc1LZ5M2cPZeQ9rFnXqEvPCnZikc
184ZcAoxkvimvVZaj8jZFujC7EwR3BKWvf
18wRbb94CjyTGkUp32ZM7krCYCB9MXUq42
1AbRxRfP6yHePpi7jmDZkS4Mfpm1ZiatH5
1AereQUh8yjNPs9Wzeg1Le47dsqC8NNaNM
1DeNHM2eTqHp5AszTsUiS4WDHWkGc5UxHf
1DRxUFhvJjGUdojCzMWSLmwx7Qxn79XbJq
1DyMbw6R9PbJqfUSDcK5729xQ57yJrE8BC
1Edcufenw1BB4ni9UadJpQh9LVx9JGtKpP
1HdgQM9bjX7u7vWJnfErY4MWGBQJi5mVWV
1HEDP3c3zPwiqUaYuWZ8gBFdAQQSa6sMGw
1HZHhdJ6VdwBLCFhdu7kDVZN9pb3BWeUED
1nycdn9ebxht4tpspu4ehpjz9ghxlzipll
1PopeZ4LNLanisswLndAJB1QntTF8hpLsD
1PormUgPR72yv2FRKSVY27U4ekWMKobWjg
bc1q9jg45a039tn83jk2vhdpranty2y8tnpnrk9k5q
bc1qy34v0zv6wu0cugea5xjlxagsfwgunwkzc0xcjj
bc1qz3lmcw4k58n79wpzm550r5pkzxc2h8rwmmu6xm