Come parte del programma #StopRansomware, l’agenzia statunitense CISA (Cybersecurity and Infrastructure Security Agency) ha diffuso una nuova analisi di aggiornamento sull’impatto recente del ransomware MedusaLocker.
In particolare, l’agenzia USA ha diramato nuovi elementi per il riconoscimento di questo software malevolo in circolazione ormai da due anni, ma con tattiche, tecniche e procedure (TTP) e indicatori di compromissione (IoC) che cambiano ed evolvono di volta in volta.
Indice degli argomenti
Funzionamento del ransomware MedusaLocker
Il ransomware è in circolazione da giugno 2020 e nel tempo ha evoluto e cambiato elementi propri aggiornando il software e aprendo la porta a nuovi scenari di rischio per enti e organizzazioni.
MedusaLocker ha utilizzato, negli anni, più fasi dell’infezione, a partire da un file batch iniziale e un documento di testo, utilizzato per iniettare il ransomware nella memoria del sistema target attendendo l’esecuzione. In particolare, utilizza il codice PowerShell noto per eseguire l’iniezione riflessiva del suo codice, facendo sì che PowerShell stesso esegua l’attività dannosa.
Considerato subdolo, questo ransomware è stato coinvolto nell’alterazione del sistema per rimuovere permanentemente le copie shadow di Windows ed eliminare i servizi di sistema prima di bloccare i dati utilizzando la crittografia AES-256 standard.
I dati che vengono condivisi a partire dallo scorso giovedì, tramite un bollettino congiunto con le forze statunitensi di Federal Bureau of Investigation (FBI), Cybersecurity and Infrastructure Security Agency (CISA), Dipartimento del Tesoro e Financial Crimes Enforcement Network (FinCEN), sono relativi alle attività di MedusaLocker rilevate nel mese di maggio 2022, quindi le ultime più recenti.
Ciò che è stato ormai accertato è che gli operatori dietro al ransomware MedusaLocker spesso ottengono l’accesso ai dispositivi delle vittime attraverso configurazioni vulnerabili del Remote Desktop Protocol (RDP). Inoltre “utilizzano spesso anche campagne di posta elettronica di phishing e spam, allegando direttamente il ransomware all’e-mail, come vettori di intrusione iniziale”.
Inoltre, ancora oggi la modalità di infezione è garantita da uno script PowerShell tramite file batch. In questa maniera si diffonde su tutta la rete, utilizzando il valore della chiave di registro “EnableLinkedConnections” all’interno della macchina infetta.
In questa azione iniziale, il ransomware prende di mira i file condivisi tramite la ricerca del servizio di archiviazione SMB (Server Message Block) di Windows (le unità SAMBA dei sistemi GNU/Linux per intenderci), garantendosi così un accesso privilegiato a quelli che presumibilmente possono essere i punti sensibili e importanti di una organizzazione.
Come si presenta Medusa Locker online
La presenza sul Web di questo gruppo ransomware è gestita dietro rete Tor. Non vi è ancora un classico blog con l’esposizione delle vittime, ma è online una pagina tramite la quale chiunque sia stato colpito da Medusa Locker, possa inviare un file che è stato crittografato reso quindi inutilizzabile, al fine di testare l’effettivo funzionamento dello strumento di decriptazione in mano all’organizzazione criminale, prima di effettuare il pagamento del riscatto.
I pagamenti di riscatto, sono purtroppo di importo rilevante, come CISA ha tracciato nel bollettino. Nell’eseguire Medusa Locker sul computer della vittima, portata a termine l’operazione di crittografia di tutti i file disponibili, quest’ultimo lascia, su ogni cartella, una nota di riscatto in un file di testo, con dentro tutte le istruzioni per effettuare il pagamento in Bitcoin.
Ogni volta sembra venga utilizzato un wallet di criptovaluta differente, così da avere una rete di affiliati che in cambio di un compenso in percentuale per ogni vittima, effettuano gli spostamenti di questa ricche somme di denaro estorto.
Ne sono stati individuati ben 21 differenti, con all’interno cospicue transazioni per importi che vanno dai 50mila ai 3 milioni di dollari. Nelle immagini seguenti si possono verificare i contenuti di due di questi wallet (a titolo esemplificativo) di proprietà del gruppo criminale.
Prevenzione, sempre tra le prime regole
Tra le azioni di mitigazione suggerite dagli esperti dell’ente governativo che ha portato avanti le recenti ricerche, azioni di prevenzione sempre in prima linea contro gli attacchi di tipo ransomware.
Spicca infatti la segmentazione della rete, al fine di limitare la diffusione nell’ipotesi di un’infezione; eseguire regolarmente un piano di backup per l’infrastruttura che ci interessa proteggere e la puntualità negli aggiornamenti di sicurezza di sistemi operativi e applicativi installati (spesso fonte di vulnerabilità da sfruttare per accessi non autorizzati); autenticazione a più fattori (MFA) e la formazione del personale dipendente operativo.
È proprio quest’ultimo punto a identificare un grande deficit, il fattore umano. La formazione del personale dipendente a tutti i livelli dell’organizzazione, chiunque abbia a che fare con dispositivi informatici, rimane fondamentale. L’ottica principale e imparare, nel contempo, a saper riconoscere una mail di phishing, e saperla gestire senza che le azioni mettano a rischio l’organizzazione, sempre più spesso vettore di pericolose campagne malware.
