MedusaLocker è un ransomware emerso per la prima volta nel settembre 2019 che prende di mira macchine Windows in tutto il mondo.
Sono stati tracciati attacchi in svariati settori; durante la pandemia COVID-19 quello sanitario è stato il più colpito.
MedusaLocker prima dell’esecuzione riavvia la macchina in modalità provvisoria per evitare che vengano eseguiti strumenti di sicurezza. Appena avviato scrive sul disco due file: la chiave di cifratura e le istruzioni per pagare il riscatto e per recuperare i file. Per l’elevazione a privilegi amministrativi utilizza i metodi CMSTPLUA e ICMLuaUtil, mentre per cancellare i backup e le opzioni di recupero esegue una serie di comandi. Inoltre, si garantisce la persistenza e verifica che non ci siano altri malware, o altre istanze di se stesso, nel sistema.
La cifratura avviene con una combinazione di AES + RSA-2048, tuttavia il ransomware evita di crittografare i file eseguibili, molto probabilmente per evitare di rendere inutilizzabile il sistema di destinazione per il pagamento del riscatto.
Gli avversari non ricorrono alla tecnica della doppia estorsione, ma per renderlo ancora più pericoloso, utilizzano una combinazione di AES e RSA-2048, rendendo praticamente impossibile la procedura di brute-force della crittografia.
Recentemente, ci sono state segnalazioni che affermano che AKO, una variante di MedusaLocker, ha aggiunto un elemento di ricatto, minacciando di rilasciare pubblicamente file rubati.
Analisi del malware
Quando il file viene eseguito, carica prima le informazioni che verranno utilizzate durante il processo di crittografia, come la chiave pubblica RSA. Questa chiave viene utilizzata per crittografare la chiave dell’algoritmo AES utilizzato per crittografare i file. In altre parole, MedusaLocker utilizza una combinazione di AES + RSA-2048. Utilizza la crittografia AES per crittografare i file, quindi l’AES viene crittografato utilizzando la chiave pubblica RSA incorporata nel campione.
Appena avviato vengono scritti su disco due file:
- C:\Users\Louise\AppData\Roaming\KEY.FILE
- C:\Users\Louise\Desktop\Recovery_Instructions.mht
Rispettivamente la chiave per la cifratura e il file con le istruzioni per pagare il riscatto e recuperare i file.
MedusaLocker carica anche due elenchi di processi e servizi che verranno terminati ed eliminati durante la sua esecuzione per garantire che qualsiasi file che potrebbe contenere informazioni preziose non venga esaminato dalle modifiche da parte dei processi e dei servizi in questi elenchi. Questi elenchi includono processi e servizi come database, server web, soluzioni di sicurezza, ecc. Dopo che il processo è stato eseguito il malware controllerà se il mutex hardcoded all’interno del registro con nome “{8761ABBD-7F85-42EE-B272-A76179687C63}” esiste, in caso contrario, lo creerà. I mutex vengono solitamente utilizzati dagli autori di malware per evitare l’infezione di un sistema da istanze diverse dello stesso malware, inoltre possono essere utilizzati per verificare se il malware è già in esecuzione su un sistema. Continuando il malware controllerà con quali privilegi è in esecuzione queste informazioni possono essere ottenute dal sistema utilizzando l’API denominata GetTokenInformation che può essere utilizzata per ottenere un elenco dei privilegi abilitati e disabilitati detenuti da un token di accesso. Se non è in esecuzione con privilegi amministrativi, eseguirà il bypass UAC. Questa è una nota tecnica di bypass del controllo dell’account utente osservata in altre famiglie di malware come Trickbot nelle sue prime iterazioni e LockBit per citarne alcuni. MedusaLocker utilizza i metodi CMSTPLUA e ICMLuaUtil per l’elevazione a privilegi amministrativi.
Vengono poi eseguiti una serie di comandi per cancellare i backups e le opzioni di recupero:
- vssadmin.exe Delete Shadows /All /Quiet
- bcdedit.exe /set {default} recoveryenabled No & bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
- wbadmin DELETE SYSTEMSTATEBACKUP & wbadmin DELETE SYSTEMSTATEBACKUP -deleteOldest:
- wmic.exe SHADOWCOPY /nointeractive
Per crittografare il più possibile localmente e in remoto, MedusaLocker esegue un’enumerazione della rete locale utilizzando i pacchetti ICMP, questo metodo è noto come ping sweep o ICMP sweep e viene utilizzato per cercare un host live in un intervallo di rete. Infine, crittograferà i file in base a delle sue regole per evitare determinate estensioni di file e cartelle.
Analisi Statica
Dettagli
| FILENAME | 64CO.EXE |
| MD5 | A80B79DE02D6881D5E54AFCEFA38298A |
| SHA1 | E0D3E2612A757FF5BE818B114028A0E4BB562BC5 |
| SHA256 | 033B4950A8F249B20EB86EC6F8F2EA0A1567BB164289D1AA7FB0BA51F9BBE46C |
| FILE-SIZE | 1230848 (bytes) |
| ENTROPY | 5.604 |
| IMPHASH | 86B16FE05257643ECB30B235FCECAC57 |
| CPU | 64-BIT |
| VIRUSTOTAL | 35/70 |
Indicatori di Compromissione (IOC)
| Indirizzo | 62.182.158[.]226 |
| SHA256 | 033B4950A8F249B20EB86EC6F8F2EA0A1567BB164289D1AA7FB0BA51F9BBE46C |
| reg_key | HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\MSFEEditor |
| reg_value | “C:\Users\user\AppData\Local\Temp\64CO.exe” e |
https://fortgale.com/news/medusalocker/
