top of page
Foto do escritorDiego Arantes

Atualizações da Operação do Ransomware MedusaLocker

Introdução

O MedusaLocker, um ransomware que tem circulado desde 2019, continua a evoluir e representar uma ameaça significativa para organizações e indivíduos ao redor do mundo. Recentemente, variantes como BabyLockerKZ têm sido observadas em operações de cibercriminosos, com ataques se concentrando em países da América Latina, incluindo o Brasil. Este artigo detalha as atualizações relacionadas às técnicas, táticas e procedimentos (TTPs) utilizados por atores de ameaça, bem como as recomendações para mitigar os riscos desse ransomware​. MedusaLocker ou BabyLockerKZ?


A Cisco Talos identificou recentemente uma variante do MedusaLocker conhecida como BabyLockerKZ, utilizada em ataques sofisticados. Entre os métodos observados está o uso de ferramentas específicas armazenadas consistentemente nos mesmos diretórios em sistemas comprometidos, o que chamou a atenção dos pesquisadores. Esta variante utiliza chaves de registro distintas e um conjunto exclusivo de chaves públicas e privadas, diferenciando-se do MedusaLocker original. Os cibercriminosos por trás do BabyLockerKZ parecem estar financeiramente motivados e possivelmente ligados a corretores de acessos iniciais (IABs) ou afiliados de cartéis de ransomware. Desde 2022, esses agentes têm conduzido ataques, com um foco maior na América Latina a partir de fevereiro de 2023.

Atualizações de TTPs (Técnicas, Táticas e Procedimentos)Os criminosos por trás do BabyLockerKZ utilizam várias ferramentas de ataque conhecidas publicamente, bem como scripts personalizados para facilitar a intrusão e a movimentação lateral dentro das redes das vítimas. Entre as ferramentas utilizadas estão:

  • HRSword: Desativa softwares de segurança como antivírus e sistemas de detecção de endpoint.

  • Advanced Port Scanner: Ferramenta de escaneamento de rede usada para mapear dispositivos e vulnerabilidades.

  • ProcessHacker: Uma ferramenta de administração de processos que permite aos atacantes controlar atividades no endpoint infectado.


Além dessas ferramentas, uma peça-chave nas operações do BabyLockerKZ é a ferramenta "Checker", que facilita a movimentação lateral e o roubo de credenciais. Essa ferramenta oferece uma interface gráfica para o usuário e incorpora scripts populares de ataque, como o Invoke-TheHash, que automatiza ataques de pass-the-hash (PTH), uma técnica que permite a autenticação remota sem precisar descriptografar as senhas​.


RecomendaçõesPara mitigar os riscos associados ao MedusaLocker e suas variantes, como o BabyLockerKZ, recomenda-se que as organizações adotem as seguintes medidas de segurança:

  1. Backup Regular: Manter múltiplas cópias de dados críticos em locais fisicamente separados e seguros, como discos rígidos externos ou armazenamentos na nuvem.

  2. Autenticação Multifator (MFA): Implementar MFA em todos os serviços críticos, especialmente em correio eletrônico, redes privadas virtuais (VPNs) e contas administrativas.

  3. Segurança de Rede: Segmentar redes internas para evitar a propagação de ransomware e limitar o movimento lateral de adversários. Além disso, filtrar tráfego de rede e impedir que fontes desconhecidas acessem serviços remotos.

  4. Monitoramento Contínuo: Utilizar ferramentas de monitoramento de rede para detectar e investigar atividades anormais que possam indicar a presença de ransomware.

  5. Atualizações Regulares: Manter sistemas operacionais, softwares e firmwares atualizados para minimizar a exposição a vulnerabilidades conhecidas.


Indicadores de Comprometimento (IOCs)A seguir, estão listados alguns dos principais IOCs associados ao BabyLockerKZ, que podem auxiliar na detecção de comprometimentos:

  • MD5: 56b6d9b9fbcb471d5447fdfd362f0a71

  • SHA256: 33a8024395c56fab4564b9baef1645e505e00b0b36bff6fad3aedb666022599a

  • Nomes de Arquivo: pomochit01.exe, lock6n.exe


Conclusão

O MedusaLocker e suas variantes, como o BabyLockerKZ, continuam a ser uma ameaça séria às organizações em todo o mundo. Com o foco recente em alvos na América Latina, é essencial que as empresas adotem práticas de segurança robustas, como backups regulares e autenticação multifator, para se protegerem contra essa ameaça crescente. A implementação de medidas preventivas pode mitigar os impactos devastadores que esses ransomwares podem causar​.

0 visualização0 comentário

Posts recentes

Ver tudo

Comments


bottom of page