NUEVA ACTUALIZACIÓN DEL RANSOMWARE MEDUSALOCKER

16/03/2023

BOLETÍN NRO 2023-176

Recientemente se ha detectado una nueva actividad del ransomware MedusaLocker el cual se ha convertido en una amenaza creciente en todo el mundo.

Servicios Afectados

• Sistemas operativos Windows

Detalles Tecnicos

CVE: ---

Severidad:   CRÍTICA

Amenaza: MEDUSALOCKER

Categoría: Ransomware

Desde su aparición en septiembre de 2019, los actores de MedusaLocker han aprovechado las vulnerabilidades en el Protocolo de escritorio remoto (RDP) para obtener acceso a las redes de sus víctimas. Una vez dentro, cifran los datos de las víctimas y dejan una nota de rescate con instrucciones sobre cómo las víctimas pueden comunicarse con los atacantes para pagar un rescate en criptomonedas.

El grupo de ransomware MedusaLocker opera en el modelo Ransomware-as-a-Service (RaaS), que permite a los ciberdelincuentes alquilar el ransomware y sus servicios al desarrollador. Esto significa que los operadores de ransomware desarrollan el ransomware y un panel de comando y control que utilizan los afiliados para lanzar ataques de ransomware. Después de una operación exitosa, los operadores de ransomware y sus afiliados dividen el rescate extorsionado a las víctimas.

Aunque el ransomware MedusaLocker se dirige principalmente a las industrias de la atención médica y los hospitales, también ha atacado a organizaciones gubernamentales y educativas. Estados Unidos de América es el principal objetivo de todos los grupos de ransomware, y MedusaLocker no es una excepción. La mayoría de las víctimas son de los Estados Unidos de América, aunque las víctimas están repartidas por todos los continentes, excepto la Antártida.

Según el Centro de Información de Seguridad Cibernética y de Infraestructura (CISA) de los Estados Unidos, el grupo de ransomware MedusaLocker obtiene acceso inicial al dispositivo de la víctima a través de configuraciones vulnerables de RDP. Los atacantes también utilizan correos electrónicos de phishing y spear phishing en sus campañas para dirigirse a posibles víctimas.

La muestra de malware que han identificado los expertos es un ejecutable basado en una interfaz gráfica de usuario (GUI) de 32 bits compilado con Microsoft Visual C/C++. Tras la ejecución, MedusaLocker crea un mutex, u objeto de exclusión mutua, como mecanismo de bloqueo para evitar que dos subprocesos escriban en la memoria compartida simultáneamente y para evitar la reinfección de la víctima.

MedusaLocker requiere privilegios administrativos para llevar a cabo sus operaciones maliciosas sin restricciones. Después de adquirir la exclusión mutua, el ransomware verifica el privilegio de su proceso en ejecución. Si no se ejecuta con privilegios de administrador, el ransomware emplea una técnica de omisión del Control de cuentas de usuario (UAC) para reiniciarse con privilegios elevados.

Después de deshabilitar el aviso de UAC, MedusaLocker marca el sistema infectado con la clave de registro. Esto detiene las indicaciones de UAC si el proceso requiere mayores privilegios para ejecutarse. A medida que la amenaza continúa evolucionando, es fundamental que las organizaciones tomen medidas proactivas para protegerse y evitar convertirse en una víctima de este tipo de ataque..

Indicadores de Compromiso

Hash

MD5: 3618b68d7db4614ec8d33b5052cc0e85

SHA-256: 1658a064cb5a5681eee7ea82f92a2b7a14f70268dda3fc7aad8a610434711a8f

MD5: 28ec152fadc5119c31f1fc984735b324

SHA-256: 3e22df5e41df76a46ab360be05fe0ee5c336c84fd55db7763fe4e214dca194b4

MD5: d9fa435d704caebc54408e03227f0044

SHA-256: 8724e513ca2b4ce055bb846220e57c2ab622f296bf7a768393a701319d3eac70

MD5: 2979ed84c4ca3deb2924bd1f26bf88bd

SHA-256: bcf49e8f493c9eff83d9bc891e91dc91777f02b4f176e44b20f9a2d651f20fc3

MD5: 2316091f02153ac20dff768513aae1a4

SHA-256: 940bddbc6ef19b211f2022d61bf4d006969da11f9fe0beba98586e554dfcc741

MD5: 3618b68d7db4614ec8d33b5052cc0e85

SHA-256: 1658a064cb5a5681eee7ea82f92a2b7a14f70268dda3fc7aad8a610434711a8f

MD5: e03fa1e0dd3dc0fb6960e76219ddf86c

SHA-256: 0a758a922bdaacc08a84a62881eeb0f17075058ecf7329cbc10a9bfe1fba0814

MD5: 168447d837fc71deeee9f6c15e22d4f4

SHA-256: add2850732c42683ee92ba555bbffb88bf5a4eee7c51e24f15a898f2d5aff66b

MD5: 57ee7ef00e009c4048d78406b3dca5b7

SHA-256: e0221e692fa3476cb2d862c1aee07f3e87d83411ef9a534fdf8d20efbaee0394

MD5: aa82e62207615d2f227ce9a0e488b912

SHA-256: 79e009e12ba6d60665faf5bdd523d80f0fe6be28694914cf0fa64929b4052e67

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.

** Antes de realizar el bloqueo de IoCs o aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

Fuente

• Fuente 1: Alarming increase in MedusaLocker Ransomware Victims
• Fuente 2: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com

​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​