【勒索防护】Medusa勒索团伙攻击东南亚某医疗保险行业,揭秘勒索者的前世今生
2023-10-13 17:11:4 Author: mp.weixin.qq.com(查看原文) 阅读量:2 收藏

概述

Medusa勒索软件团伙首次出现于 2021 年 6 月,起初攻击活动相对较少,受害者也较少,但在从2023 年1月中旬起该团伙开始加大了攻击力度,同时推出了托管在Tor网络上的“Medusa Blog”,该博客用于展示拒绝支付赎金的受害者。该团伙采用勒索软件即服务 (RaaS) 业务模型,采用威胁泄露数据的双重勒索模式威胁受害者支付赎金。此外该团伙是一个由经济利益驱使的犯罪组织。威胁行为者要求支付赎金来删除所有数据,同时他们也接受感兴趣的买家付款获得数据。

通过分析发现,受害者遍布全球多个行业。受害者国家分布广泛,覆盖多个国家和地区,没有明显的地域限制;受害者行业类型广泛,覆盖多个行业和领域,偏向医疗保健行业和教育机构。

家族归因

有多个威胁行为者使用"Medusa"一词进行命名。我们在2019年曾捕获到Medusa勒索病毒,并自那时起对该家族进行持续跟踪。后来发现有多个团伙声称自己是"Medusa",例如Medusa僵尸网络、MedusaLocker勒索软件和Medusa安卓恶意软件。然而,根据我们的观察结果,这四种威胁并不属于同一组织。目前我们还不清楚为什么会有这么多攻击团伙以"Medusa"命名。可能是因为在希腊神话中,"Medusa"是一个具有神话和传说背景的名字,代表着希腊神话中的蛇发女妖,给人一种神秘和强大的感觉。因此,可能有人选择将恶意软件命名为"Medusa"以吸引用户的注意。另一种可能是恶意软件的特征,就像Medusa一样具有将人石化的破坏能力。本次事件中的Medusa勒索软件被加密文件添加“.MEDUSA”后缀,勒索信文件名为“!!!READ_ME_MEDUSA!!!.txt”,并且会将受害者公布在“Medusa Blog”博客上,如下图所示:

危害

勒索软件攻击会给受影响的组织和个人带来严重的后果,可能导致敏感或有价值的数据泄露、业务中断、声誉受损。勒索攻击通常伴随着数据泄露,攻击者从受感染的系统收集敏感有价值信息。这可能包括个人身份信息、财务数据或知识产权。此类信息被盗可能会造成严重后果,包括身份盗用、金融欺诈或企业间谍活动等。

数据泄露/双重勒索

对于拒绝支付赎金的受害者,Medusa采取公布敏感数据的措施,在社交媒体上发布一些吹嘘黑客攻击的帖子,附加带有数据泄密网站的链接,这种举措能够增加数据泄密站点的曝光度。大多数勒索团伙通常会将数据泄露站点搭建在Tor 网络上,相比之下,Medusa团伙将数据发布在传统网站上,虽然这种方法很容易被执法部门接管,但是通常会有更广泛的受众群体,下载速度也更快,而且不需要专门的 Tor 浏览器。

今年2月,Medusa团伙攻击了明尼阿波利斯公立学校 (MPS) ,并要求支付100万美元的赎金。MPS拒绝支付赎金并表示已经通过备份成功恢复了数据。然而,Medusa勒索团伙将窃取到的100GB数据发布在互联网上,并通过Telegram 频道进行推广。这些数据包含大量敏感信息,如智力测试结果、药物使用信息,甚至可能遭受性侵害的信息。每份信息都包含受害者的姓名、生日和地址。虽然教育和医疗保健行业一直是勒索软件攻击的主要目标,但该事件反映出勒索策略日益激进,以及更加高度、更加残酷地利用弱势群体作为对组织施加压力的手段。Recorded Future 的勒索软件专家Allan Liska表示:“We will continue to see more of these aggressive extortion tactics from ransomware gangs as victims refuse to pay. The next evolution can only be more dangerous”

杀伤链

攻击者主要通过RDP爆破、泄露的RDP凭据、鱼叉式网络钓鱼、垃圾邮件获得初始访问权限。一旦进入网络中,Medusa会通过SMB服务或者Windows管理工具(WMI)在内网中横向,然后通过一系列黑客工具分析内网环境和有价值的数据,并尝试渗透到域控,随后将所有价值的数据发送的私有云存储服务器并监控数据流,当获取到必要数据后,攻击者会将勒索软件部署到所有可访问的主机中,最后开始执行勒索软件,加密文件。

勒索样本分析

(一)影响系统

Medusa 不仅针对 Windows 系统,还具有感染 Linux 服务器的变体,通常部署 XMRig 等挖矿程序。对受害者可能造成财务损失和敏感信息暴露等不可逆转的损害,建议保持警惕、定期备份和更新安全措施。

Windows
Linux
MacOS
Android
Yes
Yes
No
No

(二)功能分析(Windows版本)

Windows 加密器将接受命令行选项,允许威胁参与者配置如何在设备上加密文件。

为了避免受害者通过卷影副本恢复备份数据,该勒索软件通过执行以下命令删除卷影。

1.deletes shadow volume copies

2.vssadmin Delete Shadows /all /quiet

3.vssadmin resize shadowstorage /for=C: /on=C: /maxsize=401MB

4.vssadmin resize shadowstorage /for=%s /on=%s /maxsize=unbounded

为了删除与备份相关的本地文件以及删除虚拟硬盘驱动器,该勒索软件会执行以下命令:

del/s /f /q  %s*.VHD %s*.bac %s*.bak %s*.wbcat %s*.bkf %sBackup*.* %sbackup*.* %s*.set %s*.win %s*.dsk

借助BCrypt 库使用 AES-256 + RSA-2048 加密来加密文件。加密文件时,勒索软件会将 .MEDUSA 扩展名附加到加密文件名中,并释放文件名为“!!!READ_ME_MEDUSA!!!.txt”的勒索信,勒索信中展示了如何通过实时聊天程序Tox Chat或者邮件与攻击者取得联系。加密后文件系统如下所示:

!!!READ_ME_MEDUSA!!!.txt勒索信内容如下所示:

为了防止加密过程中,由于文件被占用导致加密失败。该勒索软件会终止280多个服务和进程,包括邮件服务器、备份服务器、数据库服务器和安全软件。

部分终止的进程

zoolz.exe,agntsvc.exe,dbeng50.exe,dbsnmp.exe,encsvc.exe,excel.exe,firefoxconfig.exe,infopath.exe,isqlplussvc.exe,msaccess.exe,msftesql.exe,mspub.exe,mydesktopqos.exe,mydesktopservice.exe,mysqld.exe,mysqld-nt.exe,mysqld-opt.exe,ocautoupds.exe,ocomm.exe,ocssd.exe,onenote.exe,oracle.exe,outlook.exe,powerpnt.exe,sqbcoreservice.exe,sqlagent.exe,sqlbrowser.exe,sqlservr.exe,sqlwriter.exe,steam.exe,synctime.exe,tbirdconfig.exe,thebat.exe,thebat64.exe,thunderbird.exe,visio.exe,winword.exe,wordpad.exe,xfssvccon.exe,tmlisten.exe,PccNTMon.exe,CNTAoSMgr.exe,Ntrtscan.exe,mbamtray.exe

部分终止的服务

Acronis VSS Provider,Enterprise Client Service,Sophos Agent,Sophos AutoUpdate Service,Sophos Clean Service,Sophos Device Control Service,Sophos File Scanner Service,Sophos Health Service,Sophos MCS Agent,Sophos,MCS Client,Sophos Message Router,Sophos Safestore Service,Sophos System Protection Service,Sophos Web,Control Service,SQLsafe Backup Service,SQLsafe Filter Service,Symantec System Recovery,Veeam Backup Catalog,Data Service,AcronisAgent,AcrSch2Svc,Antivirus,ARSM,BackupExecAgentAccelerator,BackupExecAgentBrowser,BackupExecDeviceMediaService,BackupExecJobEngine,BackupExecManagementService,BackupExecRPCService,BackupExecVSSProvider,bedbg,DCAgent,EPSecurityService,EPUpdateService,EraserSvc11710,EsgShKernel,FA_Scheduler,IISAdmin,IMAP4Svc,macmnsvc,masvc,MBAMService,MBEndpointAgent,McAfeeEngineService,McAfeeFramework,McAfeeFrameworkMcAfeeFramework,McShield,McTaskManager,mfemms,mfevtp,MMS,mozyprobackup,MsDtsServer,MsDtsServer100,MsDtsServer110,MSExchangeES,MSExchangeIS,MSExchangeMGMT,MSExchangeMTA,MSExchangeSA,MSExchangeSRS,MSOLAP$SQL_2008,MSOLAP$SYSTEM_BGC,MSOLAP$TPS,MSOLAP$TPSAMA,MSSQL$BKUPEXEC,MSSQL$ECWDB2,MSSQL$PRACTICEMGT,MSSQL$PRACTTICEBGC,MSSQL$PROFXENGAGEMENT,MSSQL$SBSMONITORING,MSSQL$SHAREPOINT,MSSQL$SQL_2008,MSSQL$SYSTEM_BGC,MSSQL$TPS,MSSQL$TPSAMA,MSSQL$VEEAMSQL2008R2,MSSQL$VEEAMSQL2012,MSSQLFDLauncher,MSSQLFDLauncher$PROFXENGAGEMENT,MSSQLFDLauncher$SBSMONITORING,MSSQLFDLauncher$SHAREPOINT,MSSQLFDLauncher$SQL_2008,MSSQLFDLauncher$SYSTEM_BGC,MSSQLFDLauncher$TPS,MSSQLFDLauncher$TPSAMA,MSSQLSERVER,MSSQLServerADHelper100,MSSQLServerOLAPService,MySQL80,MySQL57,ntrtscan,OracleClientCache80,PDVFSService,POP3Svc,ReportServer,ReportServer$SQL_2008,ReportServer$SYSTEM_BGC,ReportServer$TPS,ReportServer$TPSAMA,RESvc,sacsvr,SamSs,SAVAdminService,SAVService,SDRSVC,SepMasterService,ShMonitor,Smcinst,SmcService,SMTPSvc,SNAC,SntpService,sophossps,SQLAgent$BKUPEXEC,SQLAgent$ECWDB2,SQLAgent$PRACTTICEBGC,SQLAgent$PRACTTICEMGT,SQLAgent$PROFXENGAGEMENT,SQLAgent$SBSMONITORING,SQLAgent$SHAREPOINT,SQLAgent$SQL_2008,SQLAgent$SYSTEM_BGC,SQLAgent$TPS,SQLAgent$TPSAMA,SQLAgent$VEEAMSQL2008R2,SQLAgent$VEEAMSQL2012,SQLBrowser,SQLSafeOLRService,SQLSERVERAGENT,SQLTELEMETRY,SQLTELEMETRY$ECWDB2,SQLWriter,SstpSvc,svcGenericHost,swi_filter,swi_service,swi_update_64,TmCCSF,tmlisten,TrueKey,TrueKeyScheduler,TrueKeyServiceHelper,UI0Detect,VeeamBackupSvc,VeeamBrokerSvc,VeeamCatalogSvc,VeeamCloudSvc,VeeamDeploymentService,VeeamDeploySvc,VeeamEnterpriseManagerSvc,VeeamMountSvc,VeeamNFSSvc,VeeamRESTSvc,VeeamTransportSvc,W3Svc,wbengine,WRSVC,MSSQL$VEEAMSQL2008R2,SQLAgent$VEEAMSQL2008R2,VeeamHvIntegrationSvc,swi_update,SQLAgent$CXDB,SQLAgent$CITRIX_METAFRAME,SQL Backups,MSSQL$PROD,Zoolz 2 Service,MSSQLServerADHelper,SQLAgent$PROD,msftesql$PROD,NetMsmqActivator,EhttpSrv,ekrn,ESHASRV,MSSQL$SOPHOS,SQLAgent$SOPHOS,AVP,klnagent,MSSQL$SQLEXPRESS,SQLAgent$SQLEXPRESS,wbengine,kavfsslp,KAVFSGT,KAVFS,mfefire

为了避免系统崩溃或无法启动,从而引起受害者的警觉,该勒索软件会避免加密的如下系统目录

当所有操作执行完毕后,勒索软件会执行以下命令删除自身

cmd /c ping localhost -n 3 > nul & del <勒索文件>

ATT&CK

TA阶段
T技术
S技术
描述
初始访问
TA0001
T1078
有效账户
T1078.003
本地账户
通过爆破或泄露的合法RDP账号
 T1566
网络钓鱼
 T1566.001
钓鱼附件
通过网络钓鱼电子邮件附件获得初始访问权限
T1133
外部远程服务
N/A
通过RDP服务访问受害者网络
执行
TA0002
T1059
系统服务
T1059.003
Windows Command Shell
使用一系列Windows命令,如vssadmin、net stop、taskkill 等
T1047
WMI
N/A
使用WMIC删除卷影副本
防御规避
TA0005
T1562
削弱防御
 
T1562.001
禁用或修改工具
终止与反病毒/安全防御产品等相关的服务或进程
T1562.009
安全模式启动
滥用安全模式逃避终端检测
凭据访问
TA0006
T1110
暴力破解
T1110.002
密码破解
爆破本地RDP账号密码
发现
TA0007
T1057
枚举进程
N/A
枚举当前系统环境中所有正在运行的进程
T1083
文件和目录发现
N/A
查询指定的文件、文件夹和文件后缀
T1135
网络共享发现
N/A
枚举网络共享
TA0008
横向移动
T1021
远程服务
T1021.001
远程桌面协议
使用 RDP 进行横向移动
T1021.002
SMB/Windows 管理员共享
通过SMB 进行横向移动
TA0011
命令与控制
T1105
入口工具传输
N/A
使用Certutil下载恶意文件
影响
TA0040
T1490
禁止系统恢复
N/A
删除卷影副本,禁用Windows系统恢复功能
T1489
终止服务
N/A
终止与数据库服务器、邮件服务器、备份相关的进程和服务
T1486
为影响而加密的数据
N/A
使用AES-256算法加密计算机上的文件

IOCs

MD5
00eae0a97f18a59c0f9b65799b8b1523
MD5
08278e867322735de9e75f59b539426e
MD5
120e36c2428a4bfe9f37b977f698fa39
MD5
217b5b689dca5aa0026401bffc8d3079
MD5
3030943c7e5f2c7b710c416f7d979c25
MD5
30e71d452761fbe75d9c8648b61249c3
MD5
312e41aa5901f6e00811de343627d418
MD5
38b1cdb61aff9b5096cc971cbb3159e0
MD5
412568f078ec521bdba6ae14b9f36823
MD5
4293f5b9957dc9e61247e6e1149e4c0f
MD5
4536297338323c00783fdceabf8d36bf
MD5
47d222dd2ac5741433451c8acaac75bd
MD5
4984d9af56c39a161b627e019ed2604d
MD5
5b9ee071922cd3aba060a4979a403e0f
MD5
6701070c21d3c6487c3e6291f2f0f1c9
MD5
7405efcdd3e931cde430317df1c00131
MD5
7b9dbd1a611dc4d378607e5f50b23654
MD5
7ecc2ed7db7bbb6dc794f29feb477c8c
MD5
82143033173cbeee7f559002fb8ab8c5
MD5
84b88ac81e4872ff3bf15c72f431d101
MD5
858ffbe870a7454c4a59f889d8d49169
MD5
8cd11f34d817a99e4972641caf07951e
MD5
9353a3fa46ce13ea133cfab51c8cbd7a
MD5
99a1f6e096dc79b1bc1adbefaa0cd9c5
MD5
acb0fde71fa3d57261e8eac9c3da88ab
MD5
ad182ac22ee9e8075a324fcee2038108
MD5
d02e837ecc8d57f66d6911b7286c9e71
MD5
d82b27fdcc3a63f2ab0c46c5a3caef0a
MD5
d8550fb34f73ccc47b02c51b138b11dd

解决方案

防御建议 

1. 避免将重要服务在外网开放,若一定要开放,需增加口令复杂度,避免使用弱口令。

2. 避免打开可疑或来历不明的邮件,尤其是其中的链接和附件等,如一定要打开未知文件,请先使用杀毒软件进行扫描。

深信服解决方案

【深信服终端安全管理系统aES】已支持查杀拦截此次事件使用的病毒文件,aES全新上线“动静态双AI引擎”,静态AI能够在未知勒索载荷落地阶段进行拦截,动态AI则能够在勒索载荷执行阶段进行防御,通过动静态AI双保险机制可以更好地遏制勒索蔓延。不更新也能防护;但建议更新最新版本,取的更好防护效果。


文章来源: https://mp.weixin.qq.com/s?__biz=Mzg2NjgzNjA5NQ==&mid=2247520951&idx=1&sn=2884a89b245d13358424f5419036e5d8&chksm=ce4619a7f93190b18fec8f7961a538160cb621d7968b992105df4bb3201046502ce710ba230f&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh