Alerta sobre ransomware “MedusaLocker”
MedusaLocker es un programa malicioso clasificado como ransomware, el cual es un software extorsivo, su finalidad es impedir el uso de un dispositivo hasta que se haya pagado un rescate. Una vez introducido, se cifra por completo el sistema operativo o solo algunos de los archivos. Durante el proceso de cifrado, los archivos se renombran usando la extensión ".encrypted"; cambiando el título del archivo para que "1.jpg" pase a llamarse "1.jpg.encrypted" y así sucesivamente. Una vez que los datos están encriptados, MedusaLocker deja un archivo HTML en el escritorio de la víctima, como por ejemplo "HOW_TO_RECOVER_DATA.html", que incluye un mensaje de petición de rescate a realizarse con un pago a una dirección de billetera Bitcoin específica.
Los ciberdelincuentes de MedusaLocker dependen predominantemente de vulnerabilidades en el Protocolo de escritorio remoto (RDP) para acceder a las redes de las potenciales víctimas. MedusaLocker parece operar como un modelo de Ransomware-as-a-Service (RaaS) basado en la división observada de los pagos de rescate. Los modelos típicos de RaaS involucran al desarrollador de ransomware y varios afiliados que implementan el ransomware en los sistemas de las víctimas. Los pagos del ransomware MedusaLocker parecen dividirse entre el afiliado, que recibe del 55 al 60% del rescate; y el promotor, que recibe el resto.
Los creadores del ransomware MedusaLocker a menudo obtienen acceso a los dispositivos a través de configuraciones vulnerables del Protocolo de escritorio remoto (RDP). También utilizan con frecuencia campañas de correo electrónico no deseado y phishing por correo electrónico (adjuntando directamente el ransomware al correo electrónico) como vectores de intrusión inicial.
En la nota de rescate se describe cómo comunicarse con los actores de MedusaLocker, por lo general proporciona a las víctimas una o más direcciones de correo electrónico en las que se los puede contactar. El tamaño de las demandas de rescate parece variar según el estado financiero de la víctima percibido por los ciberdelincuentes.
Si bien este ransomware ha sido detectado hace tiempo, recientemente la Oficina Federal de Investigaciones (FBI), el ente CISA, el Departamento del Tesoro y la Red de Ejecución de Delitos Financieros (FinCEN) de Estados Unidos han publicado un Aviso de Ciberseguridad sobre MedusaLocker para proporcionar información sobre el mismo.
Recomendamos examinar la situación actual de ciberseguridad y aplicar las siguientes mitigaciones:
- Priorizar la reparación de vulnerabilidades explotadas conocidas.
- Entrenar a los usuarios para reconocer y reportar intentos de phishing.
- Habilitar y aplicar la autenticación multifactor.
Vulnerabilidad explotada en Windows es agregada al catálogo de CISA
CVE-2022-26925 es una nueva vulnerabilidad que fue agregada por CISA a su Catálogo de Vulnerabilidades Explotadas Conocidas, basada en evidencia de explotación activa.
Microsoft publicó recientemente parches para decenas de vulnerabilidades entre las que se encuentra la mencionada, que está siendo explotada activamente por los ciberdelincuentes.
Aunque en un principio la vulnerabilidad tiene una puntuación baja, los representantes de Microsoft consideran que, cuando esta se utiliza en ataques de retransmisión NTLM en servicios de Active Directory, el nivel de gravedad se eleva. Esto se debe a que, en esta situación, CVE-2022-26925 podría permitir a un atacante autenticarse en un controlador de dominio. La vulnerabilidad puede afectar a todos los sistemas operativos Windows a partir de Windows 7 (Windows Server 2008 para sistemas de servidor) y posteriores.
CVE-2022-26925 fue mitigado por la actualización de parches de junio de 2022 de Microsoft. La actualización de Microsoft también incluye correcciones para CVE-2022-26923 y CVE-2022-26931, que cambian la forma en que los certificados se asignan a las cuentas en Active Directory.
Recomendamos encarecidamente a todas las organizaciones reducir su exposición a los ciberataques al priorizar la corrección oportuna de las vulnerabilidades como parte de su práctica de gestión de vulnerabilidades mediante las actualizaciones oportunas y proteger todos los dispositivos conectados a Internet con una solución fiable.
Para más información sobre acciones de mitigación y prevención, contacte con nuestros expertos.
Fuentes: https://www.cisa.gov/uscert/ncas/alerts/aa22-181a
https://www.cisa.gov/uscert/ncas/current-activity/2022/07/01/cisa-adds-one-known-exploited-vulnerability-catalog
https://www.kaspersky.es/blog/windows-actively-exploited-vulnerability-cve-2022-26925/27152/
Imagen: https://visualhunt.co/a7/0fc09a5f
