Por Heimdall e ISH DFIR: Uma variante de ransomware da família do MedusaLocker, conhecida como “.infected”, identificada em meados de setembro de 2019, continua em operação e afetando diversas organizações em todo o mundo.
Esse ransomware atua realizando a criptografia dos dados e exige posteriormente que a organização realize o pagamento em troca de uma chave/ferramenta para descriptografar os arquivos. Normalmente, a nota de resgate contém instruções para que a vítima entre em contato com os invasores.
O Ransomware evoluiu para Ransomware-as-a-Service (RaaS) e, em 2022, o grupo teria introduzido o DLS (Site de Data Leak) das vítimas comprometidas.
Leia mais para saber detalhes sobre as TTPs (Táticas, Técnicas e Procedimentos) utilizados pelo operador do Ransomware, coletadas com base nas atividades do nosso time de Resposta a Incidentes (DFIR).
Sobre o MedusaLocker
O MedusaLocker possuiu 2 fases durante todo o seu funcionamento, uma antes do TOR v3 e outras após o TOR v3. Além disso, esta variante não adiciona uma extensão como “.medusa” ao seu arquivo criptografado, visto que adicionam vários outros nomes nas extensões, como “.skynet, .marlock, .farlock”, entre outros.
Após a criptografia, o grupo encaminha a vítima para realizar o login e iniciar a negociação para as vítimas através do portal.
E, caso a vítima não realize o pagamento ou a negociação, o grupo publica os dados da vítima em outro site, conhecido como DLS (data leak site). Realizamos os acessos a ambos os links fornecidos pelo grupo e, no momento do acesso, não estavam em operação.
Análise do ataque e do Ransomware .infected
Foi observado que o ator de ameaça,realizou a conexão através de RDP (Remote Desktop Protocol) com endereço de IP externo situado na Rússia.
Após acesso via RDP, o ator de ameaça iniciou a execução de comandos utilizados e identificados em diversos ataques cibernéticos, como: SMBEnum, SMBClient, WMIExec e SMBExec por meio do PowerShell.
Além disso, os comandos observados fazem parte da ferramenta disponível no Github conhecida como “Invoke-TheHash”, a qual contém funções do PowerShell para executar tarefas do WMI e SMB de hash. Vale salientar que a execução do referido script não é necessária obter privilégios de administrador.
Após obter acesso, foram observadas diversas tentativas de brute force a demais dispositivos na rede, uma vez que diversos endereços de IPs externos foram utilizados para fins de tentativas de logon em rede.
Foi identificado ainda que em um dos usuários utilizados para login, havia diversos arquivos em pastas do diretório do usuário, dentre eles artefatos denominados como “3.exe” e “In.exe”. Além das duas ferramentas, outras ferramentas como “Advanced_Port_Scanner.2.5.3839.exe” e “mimik.exe” foram identificados e executados pelo usuário suspeito.
Na sequência, foi identificado a criação de um novo usuário, levando-se em conta que após o acesso RDP inicial, levou-se seis minutos para a criação de uma nova conta.
Um dos fatos curiosos, é que o novo usuário acabou por adicionar um dos arquivos já identificados anteriormente (In.exe) diretamente a chave de registro “Run”, localizada em Microsoft\Windows\CurrentVersion\Run, indicando que o arquivo iria ser executado assim que o sistema fosse inicializado. A alteração da chave ocorreu após 3 horas da criação do usuário.
Outra configuração utilizada para persistência no referido sistema, é que o usuário criado foi configurado para que sua senha nunca se expira, utilizando desta forma um acesso sempre que possível retornar.
Posteriormente, o dispositivo foi reiniciado e identificado a presente e ataque utilizando-se de um payload de ransomware, exibindo ao usuário a Nota de Resgate.
Diante disto, a equipe realizou a análise do artefato visando descrever o seu funcionamento tecnicamente, bem como fornecer IOC e IOA relacionados ao ataque.
análise do referido arquivo, foi possível verificar que este teria sido compilado 5 dias antes do acesso inicial com RDP, utilizando o Microsoft Visual C/C++, com o tamanho de 425472 bytes. Outro fato curioso é que o arquivo .pdb, possui um caminho específico utilizando: D:\Education\locker\bin\stub_win_x64_encrypter.pdb.
O arquivo .pdb corresponde a associação ao código compilado em linguagens como C/C++, praticamente o arquivo contém informações de deputação que é utilizado por desenvolvedores e por depuradores para mapear o código de máquina no código-fonte original.
Na própria análise estática do código, foram observados comandos utilizados pelo payload para encerrar determinados processos, bem como consultar ou utilizar ferramentas de rede nativas do Sistema Operacional.
Uma vez executado, o processo gera uma janela de linha de comando detalhando diversas ações realizadas pelo processo e, quando inicializado, o processo define diversas configurações como a Chave Pública utilizada, texto da nota e extensão dos arquivos pós criptografia.
O processo do ransomware executa comandos para garantir o máximo de impacto possível, incluindo neste caso encerrar serviços de banco de dados, exclusão de arquivos para recuperação e encerrar serviços de backups.
O ransomware realiza ainda a exclusão de alguns tipos de arquivos e pastas específicos no sistema operacional, como:
Na sequência, o ransomware inicia a verificação e criptografia dos arquivos do host. Vale salientar que o ransomware utiliza a combinação dos algoritmos AES e RSA-2048 para criptografar.
A análise confirmou que o referido processo cria uma chave de execução de registro chamada “BabyLockerKZ” para o usuário atual visando o local do arquivo malicioso para garantir algum tipo de persistência no host.
Após a criptografia, o Ransomware anexa a extensão “.infected” aos arquivos criptografados e despeja a Nota de Resgate chamada “HOW_TO_BACK_FILES.html”.
Portanto, adicionamos na seção específica, as Táticas, Técnicas e Procedimentos utilizados pelo grupo/afiliado neste ataque identificado, facilitando desta forma, a identificação e atuação em detecção futura:
| Tática | Técnica | Detalhes |
| Execution TA0002 | Command and Scripting Interpreter: PowerShell T1059.001 | O afiliado utilizou o PowerShell para executar uma série de comandos para enumeração. |
| Command and Scripting Interpreter: PowerShell T1059.003 | A amostra do ransomware utiliza cmd para lançar ataques e interromper serviços. | |
| API Native T1106 | O afiliado e o payload utilizaram API nativas para interagair com a programação de aplicativos. | |
| Persistence TA0003 | Boot or Logon Autostart Execution T1547 | O adversário pode utilizar o ransomware para executar automaticamente o programa durante a inciailziação ou logon do sistema visando a persistência. |
| Create Account T1136 | O adversário realizou a criação de contas válidas no ambiente de rede. | |
| Privilege Escalation TA0004 | Boot or Logon Autostart Execution T1547 | O adversário pode utilizar o ransomware para executar automaticamente o programa durante a inciailziação ou logon do sistema visando a persistência e privilégio. |
| Abuse Elevation Control Mechanism: Bypass User Account Control T1548.002 | O ator de ameaça ingora os mecanismos do UAC para elevar privilégios. | |
| Defense Evasion TA0005 | Modify Registry T1112 | O adversário realizou a modificação de chaves de registros para execução do ransomware. |
| Credencial Access TA0006 | Brute Force T1110 | O adversário foi identificado como realizando ataques brute force a contas no ambiente da vítima. |
| OS Credential Dumping T1003 | Identificado que o ator de ameaça utilizou ferramentas para realizar o dump de credenciais. | |
| Lateral Movement TA0008 | Remove Services: SMB/Windows Admin Shares T1021.002 | O adversário utilizou contas válidas para interagir com o compartilhamento de rede usando Server Message Block (SMB). |
| Remove Services: Remote Desktop Protocol T1021.001 | O adversário utilizou o serviço RDP para conexão inicial e iniciar o ataque. | |
| Discovery TA0007 | File and Directory Discovery T1083 | O payload utiliza enumeração de arquivos e diretórios para ocasionar o máximo de arquivos encriptados. |
| Impact TA0040 | Data Encrypted for Impact T1486 | O ransomware realiza a criptografia dos dados utilizando AES e RSA-2048 |
| Service Stop T1489 | O ransomware realiza a paralização de serviços em execução no sistema. | |
| Inhibit System Recovery T1490 | O ransomware executa comandos visando inibir a recuperação do sistema operacional, excluindo backups e VSS. |
Diamond Model
De acordo com a análise realizada, foi possível mapear, por meio do Modelo Diamante (Diamond Model), a operação realizada pelo afiliado do Ransomware MedusaLocker da variante “.infected”.
Indicadores de Comprometimento (IOCs)
A ISH Tecnologia realiza o tratamento de diversos indicadores de compromissos coletados por meio de fontes abertas, fechadas e também de análises realizadas pela equipe de segurança Heimdall.
Diante disto, abaixo listamos todos os Indicadores de Comprometimento (IOCs) relacionadas a análise do(s) artefato(s) deste relatório:
Indicadores de URLs, IPs e domínios
Obs: Os links e endereços IP elencados acima podem estar ativos; cuidado ao realizar a manipulação dos referidos IoCs, evite realizar o clique e se tornar vítima do conteúdo malicioso hospedado no IoC.