Il ransomware MedusaLocker è emerso per la prima volta nel settembre 2019, infettando e crittografando le macchine Windows in tutto il mondo. Sono stati segnalati attacchi MedusaLocker in più settori, in particolare il settore sanitario che ha subito una grande quantità di attacchi ransomware durante la pandemia COVID-19.
Al fine di massimizzare le possibilità di crittografia dei file sulla macchina compromessa, MedusaLocker riavvia la macchina in modalità provvisoria prima dell’esecuzione. Questo metodo viene utilizzato per evitare strumenti di sicurezza che potrebbero non essere eseguiti all’avvio del computer in questa modalità.
MedusaLocker evita di crittografare i file eseguibili, molto probabilmente per evitare di rendere inutilizzabile il sistema di destinazione per il pagamento del riscatto. Per renderlo ancora più pericoloso, utilizza una combinazione di AES e RSA-2048, rendendo praticamente impossibile la procedura di brute-force della crittografia.
Recentemente, ci sono state segnalazioni che affermano che AKO, una variante di MedusaLocker, ha aggiunto un elemento di ricatto, minacciando di rilasciare pubblicamente file rubati.
Analisi del malware
Quando il file viene eseguito, carica prima le informazioni che verranno utilizzate durante il processo di crittografia, come la chiave pubblica RSA. Questa chiave viene utilizzata per crittografare la chiave dell’algoritmo AES utilizzato per crittografare i file. In altre parole, MedusaLocker utilizza una combinazione di AES + RSA-2048. Utilizza la crittografia AES per crittografare i file, quindi l’AES viene crittografato utilizzando la chiave pubblica RSA incorporata nel campione.
Appena avviato vengono scritti su disco due file:
- C:\Users\Louise\AppData\Roaming\KEY.FILE
- C:\Users\Louise\Desktop\Recovery_Instructions.mht
Rispettivamente la chiave per la cifratura e il file con le istruzioni per pagare il riscatto e recuperare i file.
MedusaLocker carica anche due elenchi di processi e servizi che verranno terminati ed eliminati durante la sua esecuzione per garantire che qualsiasi file che potrebbe contenere informazioni preziose non venga esaminato dalle modifiche da parte dei processi e dei servizi in questi elenchi. Questi elenchi includono processi e servizi come database, server web, soluzioni di sicurezza, ecc. Dopo che il processo è stato eseguito il malware controllerà se il mutex hardcoded all’interno del registro con nome “{8761ABBD-7F85-42EE-B272-A76179687C63}” esiste, in caso contrario, lo creerà. I mutex vengono solitamente utilizzati dagli autori di malware per evitare l’infezione di un sistema da istanze diverse dello stesso malware, inoltre possono essere utilizzati per verificare se il malware è già in esecuzione su un sistema. Continuando il malware controllerà con quali privilegi è in esecuzione queste informazioni possono essere ottenute dal sistema utilizzando l’API denominata GetTokenInformation che può essere utilizzata per ottenere un elenco dei privilegi abilitati e disabilitati detenuti da un token di accesso. Se non è in esecuzione con privilegi amministrativi, eseguirà il bypass UAC. Questa è una nota tecnica di bypass del controllo dell’account utente osservata in altre famiglie di malware come Trickbot nelle sue prime iterazioni e LockBit per citarne alcuni. MedusaLocker utilizza i metodi CMSTPLUA e ICMLuaUtil per l’elevazione a privilegi amministrativi.
Vengono poi eseguiti una serie di comandi per cancellare i backups e le opzioni di recupero:
- vssadmin.exe Delete Shadows /All /Quiet
- bcdedit.exe /set {default} recoveryenabled No & bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
- wbadmin DELETE SYSTEMSTATEBACKUP & wbadmin DELETE SYSTEMSTATEBACKUP -deleteOldest:
- wmic.exe SHADOWCOPY /nointeractive
Per crittografare il più possibile localmente e in remoto, MedusaLocker esegue un’enumerazione della rete locale utilizzando i pacchetti ICMP, questo metodo è noto come ping sweep o ICMP sweep e viene utilizzato per cercare un host live in un intervallo di rete. Infine, crittograferà i file in base a delle sue regole per evitare determinate estensioni di file e cartelle.
Analisi Statica
Tag
Ransomware
Dettagli
| FILENAME | 64CO.EXE |
| MD5 | A80B79DE02D6881D5E54AFCEFA38298A |
| SHA1 | E0D3E2612A757FF5BE818B114028A0E4BB562BC5 |
| SHA256 | 033B4950A8F249B20EB86EC6F8F2EA0A1567BB164289D1AA7FB0BA51F9BBE46C |
| FILE-SIZE | 1230848 (bytes) |
| ENTROPY | 5.604 |
| IMPHASH | 86B16FE05257643ECB30B235FCECAC57 |
| CPU | 64-BIT |
| VIRUSTOTAL | 35/70 |
Indicatori di Compromissione (IOC)
| Indirizzo | 62.182.158[.]226 |
| SHA256 | 033B4950A8F249B20EB86EC6F8F2EA0A1567BB164289D1AA7FB0BA51F9BBE46C |
| reg_key | HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\MSFEEditor |
| reg_value | “C:\Users\user\AppData\Local\Temp\64CO.exe” e |
