ΑρχικήSecurityMedusaLocker ransomware: Πως εισβάλλει στα δίκτυα;

MedusaLocker ransomware: Πως εισβάλλει στα δίκτυα;

Αρκετές υπηρεσίες επιβολής του νόμου των ΗΠΑ έριξαν τα φώτα της δημοσιότητας στην MedusaLocker, μια συμμορία ransomware που κατά την διάρκεια της πανδημίας “χτύπησε” οργανισμούς υγειονομικής περίθαλψης.

MedusaLocker

Δείτε επίσης: Jenkins: Αποκαλύπτει δεκάδες σφάλματα zero-day σε πολλαπλά plugins

Το MedusaLocker εμφανίστηκε το 2019 και από τότε αποτελεί πρόβλημα, ενισχύοντας τη δραστηριότητα κατά τα πρώτα στάδια της πανδημίας για τη μεγιστοποίηση των κερδών.

Ενώ το Medusa δεν είναι σήμερα τόσο παραγωγικό όσο τα δίκτυα RaaS Conti και Lockbit, το MedusaLocker προκάλεσε μερίδιο του προβλήματός, αποτελώντας μία από τις πολλές απειλές που οδήγησαν στην προειδοποίηση της Microsoft προς τους φορείς παροχής υπηρεσιών υγειονομικής περίθαλψης να επιδιορθώσουν τα VPN endpoints και να ρυθμίσουν με ασφάλεια το πρωτόκολλο Remote Desktop Protocol (RDP).

#secnews #solarstorm #hurricane 

Ηλιακή καταιγίδα ίσως επηρεάσει την ανάκαμψη από τον τυφώνα. Σοβαρές συνθήκες ηλιακής καταιγίδας θα μπορούσαν να παρεμποδίσουν τις συνεχιζόμενες προσπάθειες ανάκαμψης για τους τυφώνες Helene και Milton, διακόπτοντας τις δορυφορικές επικοινωνίες, τα δίκτυα ηλεκτρικής ενέργειας και τις υπηρεσίες GPS, προειδοποίησε την Πέμπτη το Διαστημικό Κέντρο Πρόβλεψης Καιρού των ΗΠΑ. Μια στεμματική εκπομπή μάζας (CME) έπληξε τη Γη σήμερα το πρωί στις 11:17 π.μ., διαταράσσοντας το μαγνητικό πεδίο της Γης και επιτυγχάνοντας συνθήκες γεωμαγνητικής καταιγίδας G4 (σοβαρή) στις 12:57 μ.μ., ανέφερε το πρακτορείο.

00:00 Εισαγωγή
00:19 Προβλήματα ηλιακής καταιγίδας
01:15 Όλεθρος στη μαγνητόσφαιρα
01:47 Ηλιακές καταιγίδες Μαΐου

Μάθετε περισσότερα: https://www.secnews.gr/624672/iliaki-kataigida-mporei-epireasei-anakampsi-apo-tifona/

Follow us:
Facebook:  https://www.facebook.com/SecNews 
Instagram:  https://www.instagram.com/secnews.gr/  
X (Twitter):   https://twitter.com/Secnews_GR
TikTok:    https://www.tiktok.com/@secnewsgr

#secnews #solarstorm #hurricane

Ηλιακή καταιγίδα ίσως επηρεάσει την ανάκαμψη από τον τυφώνα. Σοβαρές συνθήκες ηλιακής καταιγίδας θα μπορούσαν να παρεμποδίσουν τις συνεχιζόμενες προσπάθειες ανάκαμψης για τους τυφώνες Helene και Milton, διακόπτοντας τις δορυφορικές επικοινωνίες, τα δίκτυα ηλεκτρικής ενέργειας και τις υπηρεσίες GPS, προειδοποίησε την Πέμπτη το Διαστημικό Κέντρο Πρόβλεψης Καιρού των ΗΠΑ. Μια στεμματική εκπομπή μάζας (CME) έπληξε τη Γη σήμερα το πρωί στις 11:17 π.μ., διαταράσσοντας το μαγνητικό πεδίο της Γης και επιτυγχάνοντας συνθήκες γεωμαγνητικής καταιγίδας G4 (σοβαρή) στις 12:57 μ.μ., ανέφερε το πρακτορείο.

00:00 Εισαγωγή
00:19 Προβλήματα ηλιακής καταιγίδας
01:15 Όλεθρος στη μαγνητόσφαιρα
01:47 Ηλιακές καταιγίδες Μαΐου

Μάθετε περισσότερα: https://www.secnews.gr/624672/iliaki-kataigida-mporei-epireasei-anakampsi-apo-tifona/

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3Lmg4VGJwLS1OZnFR

Ηλιακή καταιγίδα ίσως επηρεάσει την ανάκαμψη από τον τυφώνα

SecNewsTV 3 hours ago

Το πρώτο τρίμηνο του 2020, το MedusaLocker ήταν ένα από τα κορυφαία ransomware payloads μαζί με τα RobbinHood, Maze, PonyFinal, Valet loader, REvil, RagnarLocker και LockBit, σύμφωνα με τη Microsoft.

Από τον Μάιο του 2022, το Medusa έχει παρατηρηθεί να εκμεταλλεύεται κατά κύριο λόγο ευάλωτα RDP configurations για πρόσβαση στα δίκτυα των θυμάτων, σύμφωνα με ένα νέο κοινό Cybersecurity Advisory (CSA) από το Ομοσπονδιακό Γραφείο Ερευνών (FBI), την Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA), το Υπουργείο Οικονομικών και το Δίκτυο Επιβολής Οικονομικών Εγκλημάτων (FinCEN).

Δείτε επίσης: Ρώσοι hacktivists στοχεύουν τη Νορβηγία με DdoS επιθέσεις

Το advisory είναι μέρος της συλλογής πόρων #StopRansomware της CISA σχετικά με ransomware.

«Το MedusaLocker φαίνεται να λειτουργεί ως μοντέλο Ransomware-as-a-Service (RaaS)», σημειώνει η CSA.

Τα μοντέλα RaaS περιλαμβάνουν τις συνδυασμένες προσπάθειες του ransomware developer και διαφόρων affiliate, όπως access brokers που αποκτούν αρχική πρόσβαση και άλλους φορείς που αναπτύσσουν το ransomware σε συστήματα θυμάτων.

Σε τεχνικό επίπεδο, αφού οι χάκερ του MedusaLocker αποκτήσουν αρχική πρόσβαση, το MedusaLocker αναπτύσσει ένα script PowerShell για τη διάδοση του ransomware σε όλο το δίκτυο, επεξεργάζοντας το μητρώο του μηχανήματος για τον εντοπισμό συνδεδεμένων host και δικτύων και χρησιμοποιώντας το πρωτόκολλο κοινής χρήσης αρχείων SMB για τον εντοπισμό συνδεδεμένης αποθήκευσης.

Οι εισβολείς του MedusaLocker τοποθετούν ένα σημείωμα λύτρων σε κάθε φάκελο που περιέχει ένα αρχείο με τα κρυπτογραφημένα δεδομένα του θύματος, σύμφωνα με την CSA.

Δείτε επίσης: Ουκρανία: 796 κυβερνοεπιθέσεις εναντίον της χώρας από την έναρξη του πολέμου

Οι βασικές ενέργειες του MedusaLocker μετά τη διάδοση σε ένα δίκτυο είναι οι εξής:

  • Επανεκκινεί την υπηρεσία LanmanWorkstation, η οποία επιτρέπει την εφαρμογή των επεξεργασιών μητρώου
  • Επανεκκινεί το μηχάνημα σε ασφαλή λειτουργία για να αποφύγει τον εντοπισμό από το λογισμικό ασφαλείας
  • Κρυπτογραφεί αρχεία θυμάτων με τον αλγόριθμο κρυπτογράφησης AES-256
  • Εκτελείται κάθε 60 δευτερόλεπτα, κρυπτογραφώντας όλα τα αρχεία εκτός από εκείνα που είναι σημαντικά για τη λειτουργικότητα του μηχανήματος του θύματος και εκείνων που έχουν την καθορισμένη επέκταση κρυπτογραφημένου αρχείου
  • Καθιερώνει το persistence προγραμματίζοντας μια εργασία για την εκτέλεση του ransomware κάθε 15 λεπτά.
  • Προσπαθεί να αποτρέψει τυπικές τεχνικές ανάκτησης διαγράφοντας τοπικά αντίγραφα ασφαλείας, απενεργοποιώντας τις επιλογές ανάκτησης εκκίνησης και διαγράφοντας shadow copies

Πηγή πληροφοριών: zdnet.com

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS