RANSOMWARE MEDUSA LOCKER.

Los actores del ransomware MedusaLocker a menudo obtienen acceso a los dispositivos de las víctimas a través de configuraciones vulnerables del Protocolo de escritorio remoto (RDP). Los actores también utilizan con frecuencia campañas de correo electrónico no deseado y phishing por correo electrónico, adjuntando directamente el ransomware al correo electrónico, como vectores de intrusión iniciales.

El ransomware MedusaLocker utiliza un archivo por lotes para ejecutar el script de PowerShell invoke-ReflectivePEInjection. Este script propaga MedusaLocker a través de la red editando el EnableLinkedConnectionsValue dentro del registro de la máquina infectada, lo que luego permite que la máquina infectada detecte hosts y redes conectados a través del Protocolo de mensajes de control de Internet (ICMP) y detecte el almacenamiento compartido a través del Protocolo de bloque de mensajes del servidor (SMB).

Procedimiento: 

• Reinicia el LanmanWorkstationService, lo que permite que las ediciones del registro surtan efecto. 
• Elimina los procesos de software forense, contable y de seguridad conocido. 
• Reinicia la máquina en modo seguro para evitar la detección por parte del software de seguridad.
• Cifra los archivos de las víctimas con el algoritmo de cifrado AES-256; la clave resultante se cifra luego con una clave pública RSA-2048. 
• Se ejecuta cada 60 segundos, encriptando todos los archivos excepto aquellos críticos para la funcionalidad de la máquina de la víctima y aquellos que tienen la extensión de archivo encriptada designada. 
• Establece la persistencia copiando un ejecutable ( svhost.exe o svhostt.exe) en el %APPDATA%\Roaming y programando una tarea para ejecutar el ransomware cada 15 minutos. 
• Intenta evitar las técnicas de recuperación estándar mediante la eliminación de copias de seguridad locales, la desactivación de las opciones de recuperación de inicio y la eliminación de instantáneas.

Los actores de MedusaLocker colocan una nota de rescate en cada carpeta que contiene un archivo con los datos cifrados de la víctima. La nota describe cómo comunicarse con los actores de MedusaLocker, por lo general proporciona a las víctimas una o más direcciones de correo electrónico en las que se puede contactar a los actores. El tamaño de las demandas de rescate de MedusaLocker parece variar según el estado financiero de la víctima según lo perciben los actores.

RECOMENDACIONES.

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
  
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
  
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
  
• Proteger el protocolo RDP:
  – Deshabilita los servicios RDP, si no es necesario.
  – La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  – Si no es posible cerrarlos, límita las direcciones de origen que pueden acceder a los puertos.
  – Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto.
  – Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente.
  – Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales.
  – Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada.
  
• Habilitar la autenticación de nivel de red (NLA).
  
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
  Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
  
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
  
• Actualizar los equipos con Windows a las últimas versiones.
  
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
  
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
  
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura.
  Con esto podrás identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
  
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que los usuarios sean víctimas de entes maliciosos.