Scopriamo meglio il ransomware MedusaLocker

Sebbene sia in circolazione da almeno due anni, il ransomware MedusaLocker torna a preoccupare gli esperti di cybersecurity di tutto il mondo. Varie autorità americane come FBI e CISA (Cybersecurity and Infrastructure Security Agency) hanno diramato una nota per spiegare il funzionamento di quello che viene definito RaaS (Ransomware-as-a-Service). Questi documenti seguono il filone lanciato dalle stesse autorità di cybersecurity chiamato #StopRansomware ed hanno appunto lo scopo quello di informare il più possibile su tutte le potenziali minacce.

Come abbiamo spiegato, l’origine di MedusaLocker è da attestare al giugno 2020, quando in modi diversi da quelli attuali colpì diversi bersagli, ma adesso dopo varie modifiche è tornato a preoccupare. Questo ransomware prende di mira le falle presenti nei sistemi di desktop remoto di Windows (RDP) per poi accedere alle reti delle vittime compromettendo interi sistemi.

Nel report condiviso da CSIRT viene riassunto cosa accade una volta che MedusaLocker ha accesso ai sistemi del bersaglio dell’attacco. Facendo un passo indietro, le campagne di questo ransomware partono prevalentemente da mail di phishing che veicolano il virus. Una volta entrato in funzione viene attivato lo script Powershell che consente la sua diffusione. Il passo successivo sarà quello di modificare le chiavi di registro per valutare la presenza di altri host nelle macchine e, dopo averlo fatto, disattiverà i sistemi di sicurezza.

Dopo il riavvio del sistema farà in modo di non essere individuato e comincerà a criptare e pianificherà l’esecuzione di file .exe e proverà a bloccare l’effettuazione di qualunque backup o il recupero di questi ultimi. Al termine di questa procedura, qui riassunta brevemente, verrà posta una nota di riscatto ad ogni cartella presa in ostaggio. Come di consueto, la nota conterrà le istruzioni per il pagamento da effettuare per liberare il tutto.

Le istituzioni americane, parlando di MedusaLocker così come di molti altri ransomware consigliano di utilizzare sistemi multi fattore per l’autenticazione oltre a segmentare la rete e, non meno importante, provvedere sempre in modo rapido all’aggiornamento di sistemi operativi e software critici di modo da ridurre al minimo i rischi. Va aggiunto, inoltre, che il pagamento del riscatto in casi come questo è sempre sconsigliato poiché non garantisce la libertà dei sistemi e ci espone ad ulteriori richieste di denaro.

 

Fonte: 1, 2,