Il ransomware MedusaLocker è emerso per la prima volta nel settembre 2019, infettando e crittografando le macchine Windows in tutto il mondo. Sono stati segnalati attacchi MedusaLocker in più settori, in particolare il settore sanitario che ha subito una grande quantità di attacchi ransomware durante la pandemia COVID-19.

Al fine di massimizzare le possibilità di crittografia dei file sulla macchina compromessa, MedusaLocker riavvia la macchina in modalità provvisoria prima dell’esecuzione. Questo metodo viene utilizzato per evitare strumenti di sicurezza che potrebbero non essere eseguiti all’avvio del computer in questa modalità.

MedusaLocker evita di crittografare i file eseguibili, molto probabilmente per evitare di rendere inutilizzabile il sistema di destinazione per il pagamento del riscatto. Per renderlo ancora più pericoloso, utilizza una combinazione di AES e RSA-2048, rendendo praticamente impossibile la procedura di brute-force della crittografia.

Recentemente, ci sono state segnalazioni che affermano che AKO, una variante di MedusaLocker, ha aggiunto un elemento di ricatto, minacciando di rilasciare pubblicamente file rubati.

Analisi del malware

Quando il file viene eseguito, carica prima le informazioni che verranno utilizzate durante il processo di crittografia, come la chiave pubblica RSA. Questa chiave viene utilizzata per crittografare la chiave dell’algoritmo AES utilizzato per crittografare i file. In altre parole, MedusaLocker utilizza una combinazione di AES + RSA-2048. Utilizza la crittografia AES per crittografare i file, quindi l’AES viene crittografato utilizzando la chiave pubblica RSA incorporata nel campione.

Appena avviato vengono scritti su disco due file:

  • C:\Users\Louise\AppData\Roaming\KEY.FILE
  • C:\Users\Louise\Desktop\Recovery_Instructions.mht

Rispettivamente la chiave per la cifratura e il file con le istruzioni per pagare il riscatto e recuperare i file.

MedusaLocker carica anche due elenchi di processi e servizi che verranno terminati ed eliminati durante la sua esecuzione per garantire che qualsiasi file che potrebbe contenere informazioni preziose non venga esaminato dalle modifiche da parte dei processi e dei servizi in questi elenchi. Questi elenchi includono processi e servizi come database, server web, soluzioni di sicurezza, ecc. Dopo che il processo è stato eseguito il malware controllerà se il mutex hardcoded all’interno del registro con nome “{8761ABBD-7F85-42EE-B272-A76179687C63}” esiste, in caso contrario, lo creerà. I mutex vengono solitamente utilizzati dagli autori di malware per evitare l’infezione di un sistema da istanze diverse dello stesso malware, inoltre possono essere utilizzati per verificare se il malware è già in esecuzione su un sistema. Continuando  il malware controllerà con quali privilegi è in esecuzione queste informazioni possono essere ottenute dal sistema utilizzando l’API denominata GetTokenInformation che può essere utilizzata per ottenere un elenco dei privilegi abilitati e disabilitati detenuti da un token di accesso. Se non è in esecuzione con privilegi amministrativi, eseguirà il bypass UAC. Questa è una nota tecnica di bypass del controllo dell’account utente osservata in altre famiglie di malware come Trickbot nelle sue prime iterazioni e LockBit per citarne alcuni. MedusaLocker utilizza i metodi CMSTPLUA e ICMLuaUtil per l’elevazione a privilegi amministrativi.

Vengono poi eseguiti una serie di comandi per cancellare i backups e le opzioni di recupero:

  • vssadmin.exe Delete Shadows /All /Quiet
  • bcdedit.exe /set {default} recoveryenabled No bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
  • wbadmin DELETE SYSTEMSTATEBACKUP wbadmin DELETE SYSTEMSTATEBACKUP -deleteOldest:
  • wmic.exe SHADOWCOPY /nointeractive

Per crittografare il più possibile localmente e in remoto, MedusaLocker esegue un’enumerazione della rete locale utilizzando i pacchetti ICMP, questo metodo è noto come ping sweep o ICMP sweep e viene utilizzato per cercare un host live in un intervallo di rete. Infine, crittograferà i file in base a delle sue regole per evitare determinate estensioni di file e cartelle.

Analisi Statica

Tag

Ransomware

Dettagli

FILENAME64CO.EXE
MD5A80B79DE02D6881D5E54AFCEFA38298A
SHA1E0D3E2612A757FF5BE818B114028A0E4BB562BC5
SHA256033B4950A8F249B20EB86EC6F8F2EA0A1567BB164289D1AA7FB0BA51F9BBE46C
FILE-SIZE1230848 (bytes)
ENTROPY5.604
IMPHASH86B16FE05257643ECB30B235FCECAC57
CPU64-BIT
VIRUSTOTAL35/70

Indicatori di Compromissione (IOC)

Indirizzo 62.182.158[.]226
SHA256 033B4950A8F249B20EB86EC6F8F2EA0A1567BB164289D1AA7FB0BA51F9BBE46C
reg_key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\MSFEEditor
reg_value “C:\Users\user\AppData\Local\Temp\64CO.exe” e

Related articles