![](https://www.edsitrend.com/wp-content/uploads/2023/06/2023-06-30_10-16-58.png)
Fue visto por primera vez en septiembre de 2019, llegando vía SPAM, dirigido, en mayoría, a equipos con sistema operativo Windows. Un comportamiento para destacar de este malware es bootear en modo seguro antes de la ejecución y el encriptado de archivos. También utiliza archivos .BAT (qzy.bat) y PowerShell guardado como archivo de texto (“qzy.txt”), dependiendo de la variante.
Usualmente, la maquina infectada va a encontrar un error cuando intente bootear; ya que la última variante también cambia la extensión de “Bootmgr” (proceso encargado de bootear los sistemas operativos), agregándole la extensión; “inprocess”.
MedusaLocker opera como un modelo Ransomware-as-a-Service (RaaS), donde el desarrollador de esta amenaza comparte y publica el mismo con otros actores/afiliados, los cuales van a obtener, también, un pago por sus servicios. Según diversas fuentes, los pagos recibidos por MedusaLocker son divididos entre estos afiliados, recibiendo todos, una parte. Los afiliados reciben aproximadamente el 55-60% por el tiempo de la asesoría, y, el desarrollador recibe el restante de este porcentaje.
Comportamiento:
- Borra los Backups y los volumenes de copia “Shadow”.
- Mantiene persistencia en el equipo apuntado.
- Deshabilita el modo recovery.
- Cambia el nombre y extension de “bootmgr” lo que previene que el equipo booteé normalmente.
- Finaliza procesos.
- Detiene servicios.
- Crea Mutex.
- Bootea en modo Seguro (De esta forma, el OS bootea con defensas limitadas. MedusaLocker abusa este aspecto del modo Seguro para evadir defensas del endpoint.).
- Despliega nota de rescate, que pide dinero a cambio de los activos afectados.
Métodos de acción:
- Cifrado de archivos (algoritmo simétrico de cifrado AES-256, y la llave secreta es cifrada con llaves publicas RSA-2048.)
- Bajo rendimiento del equipo: El proceso de cifrado puede causar ralentizaciones y crasheos en el equipo.
- MedusaLocker establece persistencia y ejecuta el ransomware en el startup del Sistema operativo añadiendo entradas de registro.
- Crea una tarea programada llamada “svhost” que corre el ransomware automáticamente cada 15 minutos.
Impacto:
- Data loss: Perdida de archivos importantes, documentos y otros datos, después de ser encriptados
- Perdida financiera: Los atacantes van a pedir una suma de dinero para devolver los activos afectados (Extorsión / amenaza de filtración)
Ruta de infección:
Inicialmente, los actores detrás del ransomware se enfocan en correos phishing y campañas de spam para comprometer a los objetivos. En 2022, las vulnerabilidades en Remote Desktop Protocol (RDP) son las Tácticas, Técnicas y Procedimientos (TTP) preferidas para ganar acceso a las redes apuntadas por los ciber-criminales detrás de este ransomware. Además, los actores de MedusaLocker aún podrían ganar acceso a las redes vía campañas de phishing donde el malware esté adjunto a los correos.
Debajo, dejamos una imagen con el “actual” flujo de infección, (resaltamos actual ya que estas amenazas están en una continua evolución) basado en datos disponibles e investigaciones con respecto a otras variantes y/o incidentes relacionados, también, con MedusaLocker.
![](https://www.edsitrend.com/wp-content/uploads/2023/06/image.jpeg)
Figura 1. El vector de ataque de MedusaLocker y la cadena de infección vía spam o phishing.
Recomendaciones:
- Asegúrese de utilizar los últimos patterns disponibles (dentro de sus soluciones de seguridad) para detectar las nuevas variantes del ransomware Medusa.
- Para mayor información, localice al pie de este documento el enlace al articulo del 2020 de Trend Micro para Medusa.
- Verificar Hipervinculos recibidos en los correos en caso de que sean maliciosos.
- Agregar un banner para correos que lleguen fuera de tu organización.
- Implementar un plan de recuperación que mantenga y retenga múltiples copias de datos sensibles o de datos propietarios y servidores en localizaciones físicas que estén separadas, segmentadas, y seguras.
Recomendaciones para clientes con Trend Micro:
- Verificar en Vision One, que todos los módulos de seguridad preventivos y reactivos estén activados en todos los agentes.
![](https://www.edsitrend.com/wp-content/uploads/2023/06/image-1.jpeg)
En el dashboard de Vision One podemos ver los agentes con los módulos activados.
- Para una detección temprana, verifique que los siguientes modelos de detección del módulo de XDR estén activos. Mediante distintas tecnicas avanzadas descubriremos las amenazas conocidas y desconocidas relacionadas a Medusa y a otros ransomware. Los modelos de detección utilizan la telemetria enviada por las distintas soluciones de Trend Micro (endpoint, red, servidores, correo) para generar alertas tempranas correlacionadas.
![](https://www.edsitrend.com/wp-content/uploads/2023/06/image-3.jpeg)
Dentro del módulo de XDR podemos encontrar los modelos de detección.
- A través del módulo “Security Playbooks”, crear respuestas automatizadas para aislar el equipo donde se detectaron las alertas tempranas, recolectar los archivos y/o ejecutar un script en los equipos, a través de la Shell remota que contiene Vision One.
![](https://www.edsitrend.com/wp-content/uploads/2023/06/image-2-1024x368.jpeg)
Módulo de Security Playbooks (Respuestas automatizadas ante alertas de Workbench)
- En caso de que reciba indicadores de compromiso de terceras partes, a través de los módulos “Search” y “Observed Attack Techniques”, podrán realizar las actividades de Hunting y Sweeping. De esta forma podra investigar la actividad del Ransomware en toda su Superficie de Ataque mediante la telemetría enviada a nuestro Data Lake de Vision One. A la par de ello con los mismos indicadores de compromisos puede agregarlos a lista de objetos sospechosos en caso de que surja una detección en cualquiera de las soluciones sea alertada.
Links de referencias:
https://www.cisa.gov/news-events/cybersecurity-advisories/aa22-181a
https://success.trendmicro.com/dcx/s/solution/000283372?language=en_US
¡Muchas gracias!