Medusa es un malware antiguo que se anuncia en los mercados de la Deep web desde 2015, agregó capacidades DDoS 2017 y en 2019 lanzó la versión ransomware de Medusa denominada “MedusaLocker”.
Si bien MedusaLocker ha estado activo desde 2019, el ransomware ha empezado a tomar fuerza en 2023, dirigiéndose a víctimas corporativas de todo el mundo con peticiones de rescate millonarias.
Una vez el atacante obtenido el acceso de red por parte del atacante, este puede llegar a cifrar los datos de la víctima y dejar una nota con indicaciones para el rescate de dichos datos, incluida la billetera criptográfica del atacante.
Dinámica de infección
Los atacantes suelen ganar acceso a las redes de las víctimas mediante la explotación de vulnerabilidades en el protocolo de escritorio remoto (RDP), campañas de Phishing y Spam, adjuntando directamente el ransomware como vectores de intrusión iniciales.
Ejecución
Este ransomware dirigido a equipos de Windows se inicia en modo seguro antes de la ejecución y cifrado de archivos, utiliza un archivo por lotes para ejecutar el script de PowerShell “invoke-ReflectivePEInjection” y se propaga a través de la red editando el valor de EnableLinkedConnections dentro del registro de la máquina infectada.
Procedimientos que realiza
- Reinicia los servicios para permitir modificaciones en el registro del equipo.
- Elimina los procesos de seguridad.
- Reinicia la máquina en modo seguro para evitar la detección por parte del software de seguridad.
- Cifra los archivos de las víctimas con el algoritmo de cifrado AES-256.
- Establece la persistencia del ataque copiando un ejecutable (svhost.exe o schostt.exe) en el directorio %APPDATA%\Roaming.
- Elimina las copias de seguridad locales, deshabilita las opciones de recuperación de inicio y elimina las “Shadow Copies”.
Patrones de solución
| Detección/Política/Reglas | Modelo Rama/Versión |
| Ransom.Win32.MEDUSALOCKER. A | Patrón disponible en OPR 16.411.00 |
| Ransom.Win64.MEDUSALOCKER.AA | Patrón disponible en OPR 16.411.00 |
| Trojan.BAT.MEDUSALOCKER.AA | Patrón disponible en OPR 16.416.05 |
| Ransom.Win32.MEDUSALOCKER.H.nota | Patrón disponible desde OPR 16.410 |
| Trojan.PS1.COBACIS.A | Patrón disponible desde OPR 16.410 |
Recomendaciones
- Asegurarse de usar el último patrón disponible contra el ransomware medusa.
- Asegurarse de implementar las mejores prácticas y funciones de protección contra ransomware.
Referencias
- https://csirt.celec.gob.ec/en/contenidos/noticias/492-el-grupo-de-ransomware-medusa-cobra-fuerza-y-ataca-a-empresas-de-todo-el-mundo
- https://success.trendmicro.com/dcx/s/solution/000283372?language=en_US
- https://www.bleepingcomputer.com/news/security/medusa-ransomware-gang-picks-up-steam-as-it-targets-companies-worldwide/