La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha pubblicato una descrizione dettagliata di MedusaLocker, un nuovo ransomware apparso sulla scena a maggio 2022. Il malware può infettare i computer Windows, sfruttando alcune vulnerabilità del sistema operativo, ma i cybercriminali usano anche la tradizionale tecnica del phishing. L’agenzia fornisce utili consigli per evitare rischi, tra cui l’uso di una soluzione di sicurezza.
MedusaLocker: analisi tecnica e mitigazioni
MedusaLocker è un tipico RaaS (Ransomware-as-a-Service), quindi il gruppo di cybercriminali è composto da affiliati che distribuiscono il malware fornito dagli sviluppatori. Il riscatto viene suddiviso in percentuale tra i membri della gang. L’accesso al computer della vittima avviene principalmente attraverso configurazioni RDP (Remote Desktop Protocol) vulnerabili. In alcuni casi, il ransomware viene nascosto negli allegati alle email di phishing.
MedusaLocker utilizza uno script PowerShell per infettare i computer della rete locale individuati tramite Internet Control Message Protocol (ICMP) e lo storage condiviso tramite Server Message Block (SMB). Successivamente chiude i processi di noti antivirus o tool per l’analisi forense, riavvia i computer in modalità provvisoria, cifra i file con crittografia AES a 256 bit, cancella i backup locali e le copie shadow.
In ogni directory viene copiato il file di testo che contiene le informazioni da seguire per contattare i cybercriminali e pagare il riscatto in Bitcoin. La CISA elenca una serie di consigli che possono ridurre il rischio di perdere i dati: effettuare backup frequenti da conservare offline, tenere copie dei dati più importanti in diversi luoghi, implementare la segmentazione della rete, aggiornare sistema operativo e applicazioni, installare un antivirus, usare password robuste, attivare l’autenticazione multi-fattore e installare una VPN per le connessioni remote.