CISA Alert (AA22-181A) #StopRansomware: MedusaLocker

05/07/2022 mindsecblog Notícias 0

CISA Alert (AA22-181A) #StopRansomware: MedusaLocker. FBI, CISA e FinCEN lançam comunicado conjunto sobre ramsomware MedusaLocker que explora o RDP.

O Federal Bureau of Investigation (FBI), a Cybersecurity and Infrastructure Security Agency (CISA), o Departamento do Tesouro e a Financial Crimes Enforcement Network (FinCEN) estão divulgando este CSA para fornecer informações sobre o ransomware MedusaLocker. Observados em maio de 2022, os atores do MedusaLocker dependem predominantemente de vulnerabilidades no Remote Desktop Protocol (RDP) para acessar as redes das vítimas. Os agentes do MedusaLocker criptografam os dados da vítima e deixam uma nota de resgate com instruções de comunicação em cada pasta que contém um arquivo criptografado. A nota orienta as vítimas a fornecer pagamentos de ransomware para um endereço específico da carteira Bitcoin. O MedusaLocker parece operar como um modelo Ransomware-as-a-Service (RaaS) com base na divisão observada de pagamentos de resgate. Os modelos típicos de RaaS envolvem o desenvolvedor do ransomware e várias afiliadas que implantam o ransomware nos sistemas das vítimas. Os pagamentos do ransomware MedusaLocker parecem ser consistentemente divididos entre o afiliado, que recebe de 55 a 60 por cento do resgate; e o desenvolvedor, que recebe o restante.

Detalhes técnicos

Os agentes do ransomware MedusaLocker geralmente obtêm acesso aos dispositivos da vítima por meio de configurações vulneráveis do Remote Desktop Protocol (RDP) [ T1133 ]. Os atores também costumam usar campanhas de phishing e spam por e-mail — anexando diretamente o ransomware ao e-mail — como vetores iniciais de intrusão [ T1566 ].
O ransomware MedusaLocker usa um arquivo em lote para executar o script do PowerShell invoke-ReflectivePEInjection[ T1059.001 ]. Esse script propaga o MedusaLocker por toda a rede editando o EnableLinkedConnectionsvalor no registro da máquina infectada, o que permite que a máquina infectada detecte hosts e redes conectadas via Internet Control Message Protocol (ICMP) e detecte armazenamento compartilhado via Server Message Block (SMB) Protocol .
MedusaLocker então:

Reinicia o LanmanWorkstationserviço, o que permite que as edições do registro tenham efeito.
Mata os processos de softwares de segurança, contabilidade e forense conhecidos.
Reinicia a máquina no modo de segurança para evitar a detecção pelo software de segurança [ T1562.009 ].
Criptografa os arquivos das vítimas com o algoritmo de criptografia AES-256; a chave resultante é então criptografada com uma chave pública RSA-2048 [ T1486 ].
É executado a cada 60 segundos, criptografando todos os arquivos, exceto aqueles críticos para a funcionalidade da máquina da vítima e aqueles que possuem a extensão de arquivo criptografada designada.
Estabelece persistência copiando um executável ( svhost.exeou svhostt.exe) para o %APPDATA%\Roamingdiretório e agendando uma tarefa para executar o ransomware a cada 15 minutos.
Tenta evitar técnicas de recuperação padrão excluindo backups locais, desativando opções de recuperação de inicialização e excluindo cópias de sombra [ T1490 ].

Os atores do MedusaLocker colocam uma nota de resgate em cada pasta que contém um arquivo com os dados criptografados da vítima. A nota descreve como se comunicar com os atores do MedusaLocker, normalmente fornecendo às vítimas um ou mais endereços de e-mail nos quais os atores podem ser contatados. O tamanho das demandas de resgate do MedusaLocker parece variar dependendo do status financeiro da vítima, conforme percebido pelos atores.

Mitigações

Implemente um plano de recuperação que mantenha e retenha várias cópias de dados e servidores confidenciais ou proprietários em um local fisicamente separado, segmentado e seguro (ou seja, disco rígido, dispositivo de armazenamento ou nuvem).
Implemente a segmentação de rede e mantenha backups offline de dados para garantir interrupção limitada à organização.
Faça backups regulares de dados e proteja com senha as cópias de backup armazenadas offline. Certifique-se de que cópias de dados críticos não estejam acessíveis para modificação ou exclusão do sistema onde os dados residem.
Instale, atualize regularmente e ative a detecção em tempo real para software antivírus em todos os hosts.
Instale atualizações para sistemas operacionais, software e firmware o mais rápido possível.
Revise controladores de domínio, servidores, estações de trabalho e diretórios ativos para contas novas e/ou não reconhecidas.
Audite contas de usuários com privilégios administrativos e configure controles de acesso de acordo com o princípio de privilégio mínimo.
Desative as portas não utilizadas.
Considere adicionar um banner de e-mail aos e-mails recebidos de fora da sua organização.
Desative os hiperlinks nos e-mails recebidos.
Aplique a autenticação multifator (MFA).
Use os padrões do National Institute of Standards and Technology (NIST) para desenvolver e gerenciar políticas de senha:
- Use senhas mais longas com pelo menos 8 caracteres e não mais de 64 caracteres.
- Armazene senhas em formato hash usando gerenciadores de senhas reconhecidos pelo setor.
- Adicione o usuário de senha “sais” às credenciais de login compartilhadas.
- Evite reutilizar senhas.
- Implemente vários bloqueios de conta de tentativa de login com falha.
- Desative as “dicas” de senha.
- Evite exigir alterações de senha, a menos que haja evidências de comprometimento de senha.
  - Observação: a orientação do NIST sugere favorecer senhas mais longas e não exigir mais redefinições de senhas regulares e frequentes. As redefinições de senha frequentes têm maior probabilidade de resultar em usuários desenvolvendo “padrões” de senha que os criminosos cibernéticos podem decifrar facilmente.
- Exija credenciais de administrador para instalar o software.
Use apenas redes seguras; evite usar redes Wi-Fi públicas.
Considere instalar e usar uma rede virtual privada (VPN) para estabelecer conexões remotas seguras.
Foco na conscientização e treinamento de segurança cibernética. Forneça regularmente treinamento aos usuários sobre princípios e técnicas de segurança da informação, bem como riscos e vulnerabilidades gerais de segurança cibernética, como ransomware e golpes de phishing.