Introdução
O MedusaLocker, um ransomware que tem circulado desde 2019, continua a evoluir e representar uma ameaça significativa para organizações e indivíduos ao redor do mundo. Recentemente, variantes como BabyLockerKZ têm sido observadas em operações de cibercriminosos, com ataques se concentrando em países da América Latina, incluindo o Brasil. Este artigo detalha as atualizações relacionadas às técnicas, táticas e procedimentos (TTPs) utilizados por atores de ameaça, bem como as recomendações para mitigar os riscos desse ransomware. MedusaLocker ou BabyLockerKZ?
A Cisco Talos identificou recentemente uma variante do MedusaLocker conhecida como BabyLockerKZ, utilizada em ataques sofisticados. Entre os métodos observados está o uso de ferramentas específicas armazenadas consistentemente nos mesmos diretórios em sistemas comprometidos, o que chamou a atenção dos pesquisadores. Esta variante utiliza chaves de registro distintas e um conjunto exclusivo de chaves públicas e privadas, diferenciando-se do MedusaLocker original.
Os cibercriminosos por trás do BabyLockerKZ parecem estar financeiramente motivados e possivelmente ligados a corretores de acessos iniciais (IABs) ou afiliados de cartéis de ransomware. Desde 2022, esses agentes têm conduzido ataques, com um foco maior na América Latina a partir de fevereiro de 2023.
Atualizações de TTPs (Técnicas, Táticas e Procedimentos)Os criminosos por trás do BabyLockerKZ utilizam várias ferramentas de ataque conhecidas publicamente, bem como scripts personalizados para facilitar a intrusão e a movimentação lateral dentro das redes das vítimas. Entre as ferramentas utilizadas estão:
HRSword: Desativa softwares de segurança como antivírus e sistemas de detecção de endpoint.
Advanced Port Scanner: Ferramenta de escaneamento de rede usada para mapear dispositivos e vulnerabilidades.
ProcessHacker: Uma ferramenta de administração de processos que permite aos atacantes controlar atividades no endpoint infectado.
Além dessas ferramentas, uma peça-chave nas operações do BabyLockerKZ é a ferramenta "Checker", que facilita a movimentação lateral e o roubo de credenciais. Essa ferramenta oferece uma interface gráfica para o usuário e incorpora scripts populares de ataque, como o Invoke-TheHash, que automatiza ataques de pass-the-hash (PTH), uma técnica que permite a autenticação remota sem precisar descriptografar as senhas.
RecomendaçõesPara mitigar os riscos associados ao MedusaLocker e suas variantes, como o BabyLockerKZ, recomenda-se que as organizações adotem as seguintes medidas de segurança:
Backup Regular: Manter múltiplas cópias de dados críticos em locais fisicamente separados e seguros, como discos rígidos externos ou armazenamentos na nuvem.
Autenticação Multifator (MFA): Implementar MFA em todos os serviços críticos, especialmente em correio eletrônico, redes privadas virtuais (VPNs) e contas administrativas.
Segurança de Rede: Segmentar redes internas para evitar a propagação de ransomware e limitar o movimento lateral de adversários. Além disso, filtrar tráfego de rede e impedir que fontes desconhecidas acessem serviços remotos.
Monitoramento Contínuo: Utilizar ferramentas de monitoramento de rede para detectar e investigar atividades anormais que possam indicar a presença de ransomware.
Atualizações Regulares: Manter sistemas operacionais, softwares e firmwares atualizados para minimizar a exposição a vulnerabilidades conhecidas.
Indicadores de Comprometimento (IOCs)A seguir, estão listados alguns dos principais IOCs associados ao BabyLockerKZ, que podem auxiliar na detecção de comprometimentos:
MD5: 56b6d9b9fbcb471d5447fdfd362f0a71
SHA256: 33a8024395c56fab4564b9baef1645e505e00b0b36bff6fad3aedb666022599a
Nomes de Arquivo: pomochit01.exe, lock6n.exe
Conclusão
O MedusaLocker e suas variantes, como o BabyLockerKZ, continuam a ser uma ameaça séria às organizações em todo o mundo. Com o foco recente em alvos na América Latina, é essencial que as empresas adotem práticas de segurança robustas, como backups regulares e autenticação multifator, para se protegerem contra essa ameaça crescente. A implementação de medidas preventivas pode mitigar os impactos devastadores que esses ransomwares podem causar.
Comments