Los extorsionadores armados con una nueva variante del ransomware MedusaLocker han estado infectando a más de 100 organizaciones cada mes desde al menos 2022, según Cisco Talos, y recientemente han hecho un esfuerzo “significativo” para exponer a los delincuentes y a sus víctimas. vertedero.
El mal actor, al que Talos ha denominado “PaidMemes”, utiliza una variante reciente de MedusaLocker llamada “BabyLockerKZ” para insertar la palabra “paid_memes” en el malware y otras herramientas utilizadas durante el ataque.
Según una investigación anunciada hoy y compartida exclusivamente con The Register, Threat Intel Group cree que PaidMemes opera como un corredor de acceso temprano con motivación financiera o un afiliado de un cártel de ransomware, apuntando a un gran número de empresas en todo el mundo. Afirma con “moderada confianza” que. está atacando. Al menos durante los últimos dos años.
Las primeras víctimas del extorsionador de octubre de 2022 se encontraban principalmente en Europa, y Francia, Alemania, España e Italia representaron la mayor parte de la actividad.
Luego, en el segundo trimestre de 2023, el volumen de ataques mensuales casi se duplicó y la atención se centró en América Latina, siendo Brasil el país más atacado, seguido de México, Argentina y Colombia.
Ataques de extorsión “oportunistas” en industrias y geografías
Según se informa, también hay víctimas en Estados Unidos, Reino Unido, Hong Kong, Corea del Sur, Australia y Japón. Talos no proporcionó cifras exactas por país, aparte de decir que PaidMemes infectó aproximadamente 200 IP únicas cada mes hasta el primer trimestre de 2024. En ese momento los ataques disminuyeron.
“Aún no hemos terminado de analizar los datos”, dijo a The Register Nick Biasini, jefe de extensión de Talos, en una entrevista exclusiva. “Queremos asegurarnos de no exponer a víctimas potenciales. Esa es nuestra gran preocupación”.
Estas víctimas abarcan múltiples industrias, dijo Biasini, y los atacantes parecen aprovecharse principalmente de pequeñas y medianas empresas, y agregó que el conjunto de datos vertido “hace que al menos parte del panorama del ransomware sea increíble”. otros.”
En un ejemplo, un atacante se infiltró en una empresa con un empleado y exigió el pago de un rescate.
“No se dirigen a objetivos específicos”, añadió. “Esto es muy oportunista”.
Los atacantes tampoco obtendrán millones de dólares en recompensas. “Estamos recibiendo pagos de $30,000, $40,000, $50,000 de estas pequeñas empresas”, dijo Biasini.
Los afiliados anteriores de MedusaLocker han utilizado configuraciones débiles del Protocolo de escritorio remoto (RDP) y campañas de phishing para infiltrarse en los entornos de las víctimas, pero no está claro cómo PaidMemes obtiene acceso a las organizaciones comprometidas.
“No tenemos ninguna idea al respecto. Todo lo que tenemos son credenciales desechadas que surgieron de las herramientas que estaban usando”, dijo Biasini. “Estaban ejecutando esta herramienta en los sistemas comprometidos, y la herramienta recopilaba credenciales y las descargaba en un servidor remoto abierto”.
Herramientas comerciales de PaidMemes
La mayoría de las herramientas utilizadas por los atacantes son envoltorios de escáneres de red disponibles públicamente, malware que desactiva el antivirus y el software de respuesta y detección de terminales, Mimikatz que descarga las credenciales de usuario de Windows de la memoria y otros. Se dice que es un código disponible gratuitamente.
Una de estas herramientas, Checker, se incluye con otras herramientas como Remote Desktop Plus, PSEXEC y Mimikatz, así como con una GUI para la administración de credenciales para ayudar con la navegación lateral.
También hay otro contenedor llamado Mimik, que combina Mimikatz y rclone para robar credenciales y cargarlas en un servidor controlado por un atacante.
“Esto es algo que vemos mucho entre los administradores de sistemas”, dijo Biasini. “Cuando realizan actividades, traen guiones, los rellenan y cosen para ayudarles a hacer su trabajo de forma más rápida y eficaz”.
Es decir, similar a un administrador de sistemas, pero con “intención maliciosa de obtener acceso o intentar recuperar datos de estas redes”.
Los delincuentes también tienden a utilizar las carpetas Música, Fotos o Documentos de las computadoras comprometidas para almacenar herramientas de ataque.
En uno de los ataques de BabyLockerKZ, la herramienta Checker tenía una ruta PDB que contenía la cadena “paid_memes”, lo que permitió a Talos identificar otros archivos en VirusTotal, principalmente muestras de ransomware.
Nueva variante de MedusaLocker
Por supuesto, la principal carga útil es el malware de cifrado de datos, que Talos cree que existe desde 2023. Los investigadores de Cynet denominaron esta variante de MedusaLocker un “peligro” el año pasado y mencionaron la clave de registro BabyLockerKZ en su análisis.
Más recientemente, Whitehat publicó las claves de registro PAIDMEMES PUBLIC y PRIVATE para la muestra MedusaLocker en mayo.
Tenga en cuenta que MedusaLocker no pertenece a la misma familia de malware que Medusa ransomware.
Biasini dijo que la protección contra grupos de ransomware plantea un desafío particularmente “difícil” para las pequeñas y medianas empresas. “Si bien MFA y SSO pueden ayudar a prevenir este tipo de acceso, los costos asociados con la implementación de este tipo de tecnología son muy altos”.
Además, es poco probable que estas organizaciones tengan un seguro cibernético que pague las demandas de extorsión.
“Creo que las pequeñas y medianas empresas verán una actividad de ransomware cada vez mayor en el futuro”, afirmó. “Las grandes organizaciones están mejorando en la detección de ransomware y están más capacitadas para protegerse, pero estas pequeñas empresas se están quedando atrás y los atacantes de ransomware todavía quieren un sueldo”.
https://packetstormsecurity.com/news/view/36428/Ransowmare-Crew-Infects-100-Orgs-Monthly-With-New-MedusaLocker-Variant.html
