بر اساس تجزیه و تحلیل Cisco Talos، یک عامل تهدید با انگیزه مالی مشاهده شده است که سازمان ها را در سطح جه، با استفاده از نوع باج افزار MedusaLocker هدف قرار می دهد.
نسخه ای که با نام BabyLockerKZ شناخته می شود، حداقل از اوا، سال 2023 وجود داشته است و این اولین بار است که به طور خاص به ،وان یک نوع MedusaLocker نامگذاری می شود.
این نوع از همان URLهای سایت چت و افشای باج افزار اصلی MedusaLocker استفاده می کند. با این حال، از یک کلید خودکار متفاوت یا یک ،یب کلید عمومی و خصوصی اضافی ذخیره شده در رجیستری استفاده می کند.
ویژگی های عامل تهدید
این مهاجم حداقل از سال 2022 فعال بوده و در ابتدا روی اه، کشورهای اروپایی مانند فرانسه، آلمان، اسپ،ا و ایتالیا تمرکز کرده است.
از سه ماهه دوم سال 2023، تمرکز خود را به سمت کشورهای آمریکای ج،ی مانند برزیل، مکزیک، آرژانتین و کلمبیا معطوف کرده است که در نتیجه حجم تلفات ماهانه تقریباً دو برابر می شود.
این حملات تا سه ماهه اول سال 2024 که حملات کاهش یافت، حجم ثابتی از حدود 200 آدرس IP منحصر به فرد را در هر ماه در معرض خطر قرار دادند.
اعتقاد بر این است که عامل تهدید یا به ،وان یک واسطه دسترسی اولیه یا یک وابسته به باج افزار باج افزار عمل می کند.
سیسکو با اطمینان متوسطی ارزیابی کرد که انگیزه هایش مالی بوده است.
تاکتیک ها، تکنیک ها و رویه ها
سیسکو تالو گفت که این گروه از چندین ابزار حمله شناخته شده عمومی و باینری های خارج از زمین برای فعال ، سرقت اعتبار و حرکت جانبی در سازمان های آسیب پذیر استفاده می کند.
این ابزارها عمدتاً در اطراف ابزارهای در دسترس عموم قرار می گیرند که شامل عملکردهای اضافی برای ساده ، فرآیند حمله و ارائه رابط های گرافیکی یا خط فرمان هستند.
ابزارهای شناخته شده ای که توسط مهاجم استفاده می شود عبارتند از HRSword_v5.0.1.1.rar که برای غیرفعال ، برنامه های AV و EDR استفاده می شود و Advanced_Port_Scanner_2.5.3869.exe، ابزار اسکن شبکه با بسیاری از ویژگی های اضافی برای نقشه شبکه ها و دستگاه های داخلی.
علاوه بر این، عامل تهدید از ابزارهایی استفاده می کند که به طور گسترده توزیع نشده اند که فرآیند حمله را با خودکار ، تعامل بین ابزارهای حمله رایج ساده می کنند.
یکی از این ابزارها که «Checker» نام دارد، برنامهای است که چندین برنامه کاربردی دیگر را که آزادانه در دسترس هستند گرد هم میآورد و یک رابط کاربری گرافیکی برای مدیریت اعتبارنامهها در حالی که مهاجمان به حرکت جانبی ادامه میدهند، ارائه میکند.
این ابزارها حاوی یک مسیر PDB حاوی کلمه “Paid_memes” هستند که با استفاده از BabyLockerKZ جمع آوری شده است.
مهاجمان اغلب از موسیقی، تصاویر، یا پوشه های اسناد سیستم های در معرض خطر برای ذخیره ابزارهای حمله استفاده می ،د.
منبع: https://www.infosecurity-magazine.com/news/medusalocker-ransomware-deployed/