MedusaLocker tauchte 2019 auf und ist seitdem ein Problem, da es seine Aktivitäten in der Frühphase der Pandemie ausweitete, um seine Gewinne zu maximieren. Auch wenn Medusa heute nicht mehr so verbreitet ist wie die Randomware as a Service (RaaS) Netzwerke von Conti und Lockbit, so hat MedusaLocker doch seinen Teil dazu beigetragen, dass Microsoft die Betreiber von Gesundheitseinrichtungen gewarnt hat, VPN-Endpunkte zu patchen und das Remote Desktop Protocol (RDP) sicher zu konfigurieren.

Im ersten Quartal 2020 gehörte MedusaLocker laut Microsoft zusammen mit RobbinHood, Maze, PonyFinal, Valet loader, REvil, RagnarLocker und LockBit zu den wichtigsten Ransomware-Payloads.   Seit Mai 2022 wurde beobachtet, dass Medusa hauptsächlich anfällige RDP-Konfigurationen ausnutzt, um auf die Netzwerke der Opfer zuzugreifen. Dies geht aus einem neuen gemeinsamen Cybersecurity Advisory (CSA) des Federal Bureau of Investigation (FBI), der Cybersecurity and Infrastructure Security Agency (CISA), des Department of the Treasury und des Financial Crimes Enforcement Network (FinCEN) hervor.

Die Empfehlung ist Teil der CISA-Sammlung #StopRansomware, die Ressourcen zum Thema Ransomware enthält. „MedusaLocker scheint als Ransomware-as-a-Service (RaaS) Modell zu operieren, basierend auf der beobachteten Aufteilung der Lösegeldzahlungen“, stellt die CSA fest. Bei RaaS-Modellen arbeiten die Entwickler der Ransomware und verschiedene Partner zusammen, z. B. Zugangsvermittler, die sich den ersten Zugang verschaffen, und andere Akteure, die die Ransomware auf den Systemen der Opfer installieren.

„Die Zahlungen für die MedusaLocker-Ransomware scheinen konsequent zwischen dem Partner, der 55 bis 60 Prozent des Lösegelds erhält, und dem Entwickler, der den Rest erhält, aufgeteilt zu werden“, so die CSA. Nachdem sich die MedusaLocker-Angreifer den ersten Zugang verschafft haben, setzt MedusaLocker ein PowerShell-Skript ein, um die Ransomware im gesamten Netzwerk zu verbreiten, indem sie die Registrierung des Computers bearbeiten, um angeschlossene Hosts und Netzwerke zu erkennen, und das SMB-Dateifreigabeprotokoll verwenden, um angeschlossenen Speicher zu erkennen.

Laut CSA platzieren die Angreifer von MedusaLocker eine Lösegeldforderung in jedem Ordner, der eine Datei mit den verschlüsselten Daten des Opfers enthält.

Die wichtigsten Aktionen von MedusaLocker nach der Ausbreitung in einem Netzwerk sind:

  • Neustart des LanmanWorkstation-Dienstes, wodurch Änderungen in der Registrierung wirksam werden können
  • Beendet die Prozesse bekannter Sicherheits-, Buchhaltungs- und forensischer Software
  • Neustart des Rechners im abgesicherten Modus, um eine Erkennung durch Sicherheitssoftware zu vermeiden
  • Verschlüsselt die Dateien des Opfers mit dem Verschlüsselungsalgorithmus AES-256; der resultierende Schlüssel wird dann mit einem öffentlichen RSA-2048-Schlüssel verschlüsselt
  • Wird alle 60 Sekunden ausgeführt und verschlüsselt alle Dateien mit Ausnahme derjenigen, die für die Funktionalität des Computers des Opfers kritisch sind, und derjenigen, die die angegebene verschlüsselte Dateierweiterung haben
  • Sorgt für Persistenz, indem er eine Aufgabe plant, die die Ransomware alle 15 Minuten ausführt.
  • Versucht, Standard-Wiederherstellungstechniken zu verhindern, indem lokale Backups gelöscht, Wiederherstellungsoptionen beim Start deaktiviert und Schattenkopien gelöscht werden.

Gegen diese Angriffe kann man sich schützen. Zu den von den Behörden empfohlenen Abhilfemaßnahmen gehören:

  • Implementierung eines Wiederherstellungsplans, der mehrere Kopien von sensiblen oder geschützten Daten und Servern an einem physisch getrennten, segmentierten und sicheren Ort aufbewahrt
  • Implementieren Sie eine Netzwerksegmentierung und führen Sie Offline-Sicherungen von Daten durch.
  • Regelmäßige Datensicherung und Passwortschutz für offline gespeicherte Sicherungskopien. Sicherstellen, dass Kopien kritischer Daten nicht für Änderungen oder Löschungen aus dem System zugänglich sind

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago