Observatorio de Amenazas

MedusaLocker y de qué manera nos protegemos del ransomware

Escrito por Marcelo Carvajal | 26-11-23

MedusaLocker ha afectado a empresas en LATAM, incluyendo Argentina y Chile. Operando desde finales del 2019, su evolución ha permitido llegar al punto donde se ofrece como Ransomware as a service (RaaS) lo que le permite a quienes carecen de habilidad o tiempo para desarrollar su propia variante de ransomware operar de forma rápida y asequible, multiplicando exponencialmente la cantidad de actores maliciosos y campañas que se puedan producir.

Cómo opera MedusaLocker

En la campaña #StopRansomware de la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA), enfocada en disminuir los ataques de este tipo de malware a través de información clave de sus tácticas, técnicas y procesos, informó en agosto de 2022 datos importantes de MedusaLocker que se mantienen en el tiempo.

Se destaca entre estos datos que sus tácticas de entrada son a través de campañas de phishing y spam por correo electrónico, así como spear-phishing (método de phishing dirigido a una víctima en particular), adjuntando directamente el ransomware al correo electrónico. Así también, que realiza una entrada mediante las vulnerabilidades de configuraciones del Protocolo de Escritorio Remoto (RDP).

Su principal táctica de ejecución es mediante un archivo por lotes (conocido como archivo Batch, de extensión .BAT que se utiliza para ejecutar instrucciones en Windows) para ejecutar un script de Powershell que le permite a la máquina infectada detectar dispositivos y redes conectados a través del Protocolo de mensajes de control de Internet (ICMP, el conocido Ping) y detecte el almacenamiento compartido a través del Bloque de mensajes del servidor (protocolo SMB).

De qué manera nos protegemos del ransomware

Para evitar ser víctimas de Medusa Locker u otros tipos de ransomware, es importante que las organizaciones tomen medidas básicas de seguridad cibernética, entre las diversas medidas que pueden tomar se encuentran:

  • Mantener el software y los sistemas operativos actualizados, estas actualizaciones a menudo incluyen parches de seguridad que ayudan a protegerse.
  • Realizas regularmente copias de seguridad de los archivos importantes para el negocio, estas deben almacenarse en un lugar seguro y desconectado de la red.
  • Utilizar software de seguridad confiable.
  • Tener especial cuidado al abrir correos electrónicos de remitentes desconocidos o descargar archivos de fuentes no confiables.
  • Utilizar firewalls y herramientas de filtrado que ayuden a prevenir el acceso no autorizado a los sistemas y a bloquear el acceso a sitios web maliciosos o descargas de archivos peligrosos.
  • Deshabilitar los puertos de acceso remoto (RDP) no utilizados y controlar los registros de acceso remoto para detectar cualquier actividad inusual.
  • Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
  • Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
  • De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

En síntesis, la protección contra el ransomware requiere de un enfoque integral, es la suma de medidas técnicas, de seguridad y educativas, las que mantendran a la organización atenta y prevenida frente a la posibilidad de ataque.

Para nuestros clientes con Servicios Administrados, Widefense realiza las siguientes acciones frente a ataques que se pueden realizar a través de extensiones web:

    • Protección proactiva: Nuestro equipo de Detección y Respuesta identifica y bloquea cualquier actividad maliciosa antes de que pueda causar daños.
    • Respuesta rápida: Servicios Administrados genera una respuesta rápida y efectiva frente a ataques. Nuestros procesos de respuesta funcionan de forma inmediata para identificar y minimizar el impacto de la amenaza.

Por otra parte, la principal acción que se pueden tomar frente a este tipo de ataques es capacitar a los colaboradores con programas online de educación para que sean parte activa de la protección de la organización.

A continuación se presentan algunos de los datos hash asociados a este ataque para que puedan ser cargados a las distintas plataformas de seguridad de las organizaciones:

  • 1658a064cb5a5681eee7ea82f92a2b7a14f70268dda3fc7aad8a610434711a8f
  • 3e22df5e41df76a46ab360be05fe0ee5c336c84fd55db7763fe4e214dca194b4
  •  8724e513ca2b4ce055bb846220e57c2ab622f296bf7a768393a701319d3eac70
  •  bcf49e8f493c9eff83d9bc891e91dc91777f02b4f176e44b20f9a2d651f20fc3
  • 940bddbc6ef19b211f2022d61bf4d006969da11f9fe0beba98586e554dfcc741

Fuentes

https://www.bleepingcomputer.com/news/security/medusa-ransomware-gang-picks-up-steam-as-it-targets-companies-worldwide/

https://www.tecnovan.com/2023/03/14/medusalocker-nuevo-ransomware-con-victimas-en-america-latina/

https://www.cisa.gov/news-events/cybersecurity-advisories/aa22-181a

https://blog.cyble.com/2023/03/15/unmasking-medusalocker-ransomware/ 

https://www.securesoftcorp.com/en/web/guest/w/novedades/ss_alerta176