【新闻转载】勒索软件团伙每月用新型MedusaLocker变种感染100多家机构

这些犯罪分子行事像系统管理员一样，但带有恶意的倾向。

据 Cisco Talos 称，至少自 2022 年以来，一名配备 MedusaLocker 勒索软件新变种的攻击者，每月至少感染了 100 多个组织，该公司最近发现了一起“大量”的Windows凭据数据泄露事件，揭示了犯罪分子及其受害者的信息。

这个被 Talos 称为“PaidMemes”的黑客，使用了名为“BabyLockerKZ”的最新MedusaLocker变种，并在恶意软件及攻击过程中使用的其他工具中植入了“paid_memes”字样。

在今天发布并与 The Register 独家分享的研究中，威胁情报小组“以中等信心”断言，PaidMemes 是出于经济动机，并作为初始访问经纪人或勒索软件卡特尔附属公司工作，在过去至少两年中攻击了全球的大量企业。

到了2023年第二季度，攻击量几乎翻倍，重心转移至中美洲和南美洲，其次是墨西哥、阿根廷和哥伦比亚。美国、英国、香港、韩国、澳大利亚和日本的受害者也有所分布。Talos并未透露每个国家/地区的具体数字，但提到截至2024年第一季度，PaidMemes每月大约感染了2024个唯一的IP地址。

Talos外联负责人Nick Biasini在接受The Register独家采访时表示：“我们尚未完成对数据的审查，我们希望确保不会泄露任何可能成为受害者的人的信息——这是我们非常关注的问题。”

2022 年 10 月，勒索者的早期受害者主要在欧洲——尤其是法国、德国、西班牙和意大利。

在 2023 年第二季度，每月的攻击量几乎翻了一番，重点转移到中美洲和南美洲，其中巴西成为主要目标，其次是墨西哥、阿根廷和哥伦比亚。

据悉，受害者还分布在美国、英国、香港、韩国、澳大利亚和日本。Talos没有透露每个国家/地区的确切数字，只是说到2024年第一季度，PaidMemes每月感染约200个独立IP。在这一点上，攻击减少了。

“我们还没有完成数据的审查，”Talos的外联负责人Nick Biasini在接受The Register 杂志独家采访时说。“我们想要确保不会暴露任何可能成为受害者的人——这是我们的一大顾虑。”

根据Biasini的说法，这些受害者涉及多个行业，攻击者似乎主要针对小型和中型企业下手。他表示，泄露的数据集显示“至少有一部分勒索软件的攻击模式极具投机性。”

在一个案例中，攻击者入侵了一家只有一名员工的公司，并要求支付赎金。

“他们并不是针对特定的目标，”他补充说。“这非常具有投机性。”

攻击者也没有将数百万美元的奖金收入囊中。“他们从这些小企业那里得到的赎金是3万美元、4万美元、5万美元，”Biasini 说。

虽然之前的 MedusaLocker 附属公司已经使用易受攻击的远程桌面协议 （RDP） 配置和网络钓鱼活动闯入受害者环境，但目前尚不清楚 PaidMemes 如何获得对受感染组织的访问权限。

“我们对此完全没有了解。我们所拥有的只是我们看到数据被泄露的凭据，这些凭据来自他们使用的工具，”Biasini说。“他们在他们入侵的系统上运行这个工具，这个工具会收集凭据并将其泄露到一个远程服务器上。”

据我们所知，攻击者使用的工具主要是围绕公开可用的网络扫描程序、用于禁用防病毒或端点检测和响应软件的恶意软件、用于从内存中转储 Windows 用户凭据的 Mimikatz 以及其他免费可用的代码。

其中一款名为“Checker”的工具，捆绑了其他几个工具，例如 Remote Desktop Plus、PSEXEC 和 Mimikatz，以及用于凭据管理的 GUI，以帮助横向移动。

还有另一个名为 Mimik 的包装器，它结合了 Mimikatz 和 rclone 来窃取凭据并将其上传到攻击者控制的服务器。

“这是你通常会从系统管理员那里看到的东西，”Biasini 说。“如果他们在执行活动，他们会带来脚本，他们会带来这些打包在一起、缝合在一起的东西，让他们能够更快、更有效地完成工作。”

所以，就像系统管理员一样，但“带有恶意倾向：为了获取访问权限，或者他们试图从这些网络中获取的数据。”

犯罪分子还倾向于在受害者的Music、Pictures或Documents文件夹中存储攻击工具。

在一次 BabyLockerKZ 攻击中，Checker工具的PDB路径中有一个字符串“paid_memes”，这个字符串让Talos能够在VirusTotal上识别其他文件，这些文件主要是勒索软件样本。

当然，主要的有效载荷是数据加密恶意软件，Talos 认为这种恶意软件自 2023 年以来就已经存在。Cynet 研究人员去年将这种 MedusaLocker 变体称为“Hazard”，并在他们的分析中提到了 BabyLockerKZ 注册表项。

最近，Whitehat 在 5 月份的 MedusaLocker 样本中揭示了 PAIDMEMES PUBLIC 和 PRIVATE 注册表项。

值得注意的是，MedusaLocker与Medusa勒索软件并非同一家族。

当谈到保护企业免受勒索软件团伙的侵害时，Biasini说，对于中小型企业来说，防范勒索软件团队的挑战尤其“艰巨”。“MFA和SSO是阻止此类访问的有效工具，但部署这些技术的成本非常高。”

此外，这些组织不太可能拥有能够支付赎金的网络保险。

“我预测，中小型企业未来将面临越来越多的勒索软件攻击。”他认为，“大型组织在检测勒索软件方面越来越擅长，他们在自我防御方面也越来越好，这些小型和中型企业被落在后面，而勒索软件的攻击者仍然希望从中获利。”

以下是solar安全团队近期处理过的常见勒索病毒后缀：后缀.lol勒索病毒,后缀.360勒索病毒,.halo勒索病毒,.phobos勒索病毒,.Lockfiles勒索病毒,.stesoj勒索病毒,.src勒索病毒,.svh勒索病毒,.Elbie勒索病毒,.Wormhole勒索病毒.live勒索病毒, .rmallox勒索病毒, .mallox 勒索病毒,.hmallox勒索病毒,.jopanaxye勒索病毒, .2700勒索病毒, .elbie勒索病毒, .mkp勒索病毒, .dura勒索病毒, .halo勒索病毒, .DevicData勒索病毒, .faust勒索病毒, ..locky勒索病毒, .cryptolocker勒索病毒, .cerber勒索病毒, .zepto勒索病毒, .wannacry勒索病毒, .cryptowall勒索病毒, .teslacrypt勒索病毒, .gandcrab勒索病毒, .dharma勒索病毒, .phobos勒索病毒, .lockergoga勒索病毒, .coot勒索病毒, .lockbit勒索病毒, .nemty勒索病毒, .contipa勒索病毒, .djvu勒索病毒, .marlboro勒索病毒, .stop勒索病毒, .etols勒索病毒, .makop勒索病毒, .mado勒索病毒, .skymap勒索病毒, .aleta勒索病毒, .btix勒索病毒, .varasto勒索病毒, .qewe勒索病毒, .mylob勒索病毒, .coharos勒索病毒, .kodc勒索病毒, .tro勒索病毒, .mbed勒索病毒, .wannaren勒索病毒, .babyk勒索病毒, .lockfiles勒索病毒, .locked勒索病毒, .DevicData-P-XXXXXXXX勒索病毒, .lockbit3.0勒索病毒, .blackbit勒索病毒等。

勒索攻击作为成熟的攻击手段，很多勒索家族已经形成了一套完整的商业体系，并且分支了很多团伙组织，导致勒索病毒迭代了多个版本。而每个家族擅用的攻击手法皆有不同，TellYouThePass勒索软件家族常常利用系统漏洞进行攻击；Phobos勒索软件家族通过RDP暴力破解进行勒索；Mallox勒索软件家族利用数据库及暴力破解进行加密，攻击手法极多防不胜防。

而最好的预防方法就是针对自身业务进行定期的基线加固、补丁更新及数据备份，在其基础上加强公司安全人员意识。

如果您想了解有关勒索病毒的最新发展情况，或者需要获取相关帮助，请关注“solar专业应急响应团队”。