TLP: White
Nivel de riesgo: [Crítico]
Acción Requerida: Aplicar los indicadores de compromiso descritos en esta alerta en los dispositivos de seguridad de las organizaciones.
Vector de ataque: Red, correos phishing.
Impacto: La infección exitosa de un equipo con este programa malicioso puede ocasionar que un usuario malintencionado cifre la información de la organización.
Descripción
Expertos en seguridad han identificado una campaña maliciosa relacionada con un programa del tipo ransomware denominado “MedusaLocker”. El programa malicioso fue identificado por primera vez en septiembre de 2019, y ha estado afectando a dispositivos a lo largo de todo el mundo. Hasta el momento, se han identificado diferentes variantes relacionadas con este programa malicioso, sin embargo, la mayor parte de la funcionalidad de este sigue siendo la misma, no obstante, ha habido cambios en la extensión del archivo utilizado para cifrar datos y en la nota de rescate del mismo.
Una de las primeras funciones que realiza MedusaLocker es hacer una copia en la ruta “%UserProfile%\AppData\
- Reinicia el servicio LanmanWorkstation, con el fin de asegurar que la red de Windows se esté ejecutando y, además, que las unidades de red del sistema sean accesibles.
- Crea en el editor de registro del sistema, “Regedit”, un valor “EnableLinkedConnections” en “HKEY_LOCAL_MACHINE\SOFTWARE\
Microsoft\Windows\ CurrentVersion\Policies\ System”. Con esto logra que todas las unidades de red disponibles estén completamente accesibles, incluso en un proceso iniciado por el UAC (Control de Cuentas de Usuario). - Busca y cierra algunos procesos, como son: Wrapper, DefWatch, ccEvtMgr, ccSetMgr, SavRoam, sqlservr, sqlagent, sqladhlp, Culserver, RTVscan, sqlbrowser, SQLADHLP, QBIDPService, Intuit.QuickBooks.FCS, QBCFMonitorService, sqlwriter, msmdsrv, tomcat6, zhudongfangyu, SQLADHLP, vmware-usbarbitator64, vmware-converter, dbsrv12, dbeng8, wxServer.exe, wxServerView, sqlservr.exe, sqlmangr.exe, RAgui.exe, supervise.exe, Culture.exe, RTVscan.exe, Defwatch.exe, sqlbrowser.exe, winword.exe, QBW32.exe, QBDBMgr.exe, qbupdate.exe, QBCFMonitorService.exe, axlbridge.exe, QBIDPService.exe, httpd.exe, fdlauncher.exe, MsDtSrvr.exe, tomcat6.exe, java.exe, 360se.exe, 360doctor.exe, wdswfsafe.exe, fdlauncher.exe, fdhost.exe, GDscan.exe, ZhuDongFangYu.exe. Con ello logra que cualquier archivo que estuviera directamente abierto por algún programa, o bien, se esté ejecutando en segundo plano, quede completamente cerrado.
- Posteriormente, MedusaLocker borra los registros presentes en “Shadow Volumen Copies” (servicio de Windows para la creación de copias de seguridad, instantáneas de archivos o volúmenes de computadora, incluso estando en uso) para que no puedan ser utilizadas en la restauración de archivos. Del mismo modo, elimina las copias de seguridad existentes creadas con Windows y deshabilita la reparación de inicio automático del sistema.
- Finalmente MedusaLocker realiza una búsqueda en las unidades del sistema localizando archivos que pueda cifrar, omitiendo aquellos que tengan las siguientes extensiones .exe, .dll, .sys, .ini, .lnk, .rdp, .encrypted. También pasa por alto el contenido de los directorios: “USERPROFILE”, “PROGRAMFILES(x86)”, “ProgramData”, “\AppData”, “WINDIR”, “\Application Data”, “\Program Files”, “\Users\All Users”, “\Windows”, “\intel”, “\nvidia”.
De acuerdo con la variante del ransomware, los archivos son cifrados con una extensión diferente: [.]encrypted, [.]bomber, [.]boroff, [.]breakingbad, [.]locker16, [.]newlock, [.]nlocker, [.]skynet, utilizando el método AES, y la clave de descifrado, a su vez es cifrada con una clave pública RSA-2048 incluida en el propio ransomware.
Cuando termina el proceso de cifrado, este ransomware se pausa durante 60 segundos y después escanea nuevamente las unidades de disco y de red en buscando nuevos archivos por cifrar.
Es importante mencionar que MedusaLocker es capaz de realizar un escaneo en la red para identificar otros sistemas con el protocolo SMB activo y cifrar otras unidades. Hasta el momento, se desconoce la cantidad de criptomonedas solicitadas por el rescate, y además, no se ha hallado una forma efectiva para descifrar los archivos relacionados con este programa.
Finalmente, cabe destacar que en cada carpeta donde se haya cifrado un archivo, MedusaLocker crea un documento a modo de “nota de rescate” con el nombre de “HOW_TO_RECOVER_DATA[.]html”, el cual contiene dos direcciones de correo electrónico para poder contactar y obtener las instrucciones de pago para el descifrado de los archivos. Una pequeña fracción de la nota de rescate relacionada con MedusaLocker es la siguiente:
All your data are encrypted!
Your files are encrypted, and currently unavailable.
You can check it: all files on you computer has new expansion.
By the way, everything is possible to recover (restore), but you need to buy a unique decryptor.
Otherwise, you never cant return your data.
For purchasing a decryptor contact us by email:
sambolero@tutanota[.]com
If you will get no answer within 24 hours contact us by our alternate emails:
rightcheck@cock[.]li […]
Your files are encrypted, and currently unavailable.
You can check it: all files on you computer has new expansion.
By the way, everything is possible to recover (restore), but you need to buy a unique decryptor.
Otherwise, you never cant return your data.
For purchasing a decryptor contact us by email:
sambolero@tutanota[.]com
If you will get no answer within 24 hours contact us by our alternate emails:
rightcheck@cock[.]li […]
Nivel de riesgo
- Crítico
Sistemas/tecnologías afectadas:
- Sistemas operativos Microsoft.
Indicadores de compromiso IoCs
A continuación se listan los IoCs identificados hasta el momento, relacionados con el programa malicioso reportado en esta alerta.
- SHA-256
- 0057E3EEB63DC437FD587F6786665F
E6CDA739029CC4039720524A90166F 6555 - 00EBD55A9DE1FCDD57550D97463B6B
C417184730E3F4646253BA53C4B473 B7C0 - 02F250A3DF59DEC575F26679EBD25D
E7C1D5B4D9D08016685F87A3628A39 3F92 - 03DF9DBF3FA35B88D948935E122A02
17228ED7D1D3C892265791B55E38FA E24C - 03EBE8DC4828536FEA08858FDFC3B5
3237EB514FE8CF6BC7134AFB41B22F 96A2 - 0432B4AD0F978DD765AC366F768108
B78624DAB8704E119181A746115C2B EF75 - 0655322FD8A59A7F35F9D2E2915938
1F637DDAC9F344E9406889B6F3BE46 83EA - 09669EBEBA0ED4611E0CBF91A25AC6
D174D3D45AD934B1343AEF0329DD62 DF8F - 0A82724CFB44769E69D75318B0868C
D6DE4AA789951362B3E86199E6C792 2610 - 0BAD6382F3E3C8BF90F4A141B34415
4F8F70E31A98F354B8AC813B9FCDAF 48F7 - 0C840606112DF18BFA06D58195A0ED
43715C56899445D55F55BC3789FDE1 4ED9 - 0D66B419BDAB15DCA3E2D6C260E0F6
DCAD857E06299828A1A8F5287C64C1 2A50 - 1215F5C8C2D1B4CE8F120FE3C84061
AAD2C1F8A65BF131B4FE91519E4DD3 1FCC - 124C65D01C6BA01DEAD43E246AE4C3
00D7345C8F46AE71EBF101BEF5510F 35AA - 13849C0C923BFED5AB37224D59E2D1
2E3E72F97DC7F539136AE09484CBE8 E5E0 - 1501C45487915CF84CBD4CE6F8EBDC
FA42E6610CB410C0823DEC44CF34FD D064 - 19FDD96EBE242BB5D1B91DF5FBCF45
E75881416D0C20DB5375430694031F 0153 - 1B32F444D33F50BB3A3507F53913AB
DF130A742782CEE59651C75F497E79 7B9F - 1D1E8E2BD3F8276F629E315B2AC838
DEAAC37F3B61CEB780A58F7DB611CF 9669 - 203B947A8D5016B98D5EC565CD0A20
038203420B56C9C3CE736529282C7E 98EC - 21ACD48A82D4A0E9D377930220E384
BC256EAAAF9457A45553636C9F63AE 6731 - 21C644438A00FB75FABB577076933A
99119E9F07E71EAAB3F7DC6C629860 C4C0 - 23D5E1F304319181ECFE2B4A5E68D7
4021D46F7455CC29008F4408EA19C4 CB5C - 2C64F5F2BDE51F7C650078AEEE22A4
B73E6B859A7327D0E3DD0D88A17E13 DBB4 - 2D9465975FAF46B3D592C6F06E0897
94CCA003F50E43F78559342229782B ACA5 - 2F6E2C6F96CD720A1CDF8A0FF51C64
56B5700DC2FF38D90459DFD945E7CB 2E53 - 30CD6F1CA0D18D125AF409FAF1B66D
3889A12E2F1B42D3270C2EE904F01F E7F0 - 316A5895965FDEA58DE100355BA1B3
A14C0515A40156FC7AB64BDB5D1437 9888 - 31B92A2A2A6FCD58FEFA3BF7471911
851284CB34E5FF668B99F724C653E3 D77C - 3226F67009FED8B254B44E712620ED
0020FA389B4D4EAE273B5F01EDDCF3 F403 - 326E08FB7CC034BEC055C074FED5CE
475B5D99759C1F1E96E233854CEF0B 103A - 3592C9268F515EFE1275760A21046A
03A3067872FCB3DA7B53477527123C 09A7 - 36BACECCFE27FB8B1BE3D4F0A9E81B
9028640AEEDF068D71B3A6D080E698 A793 - 383F9AA52D4D9DDDB396AE22B8713E
C524F1C122275DA3EBD5D69D25685F 2800 - 3A5B015655F3AAD4B4FD647AA34FDA
4CE784D75A20D12A73F8DC0E0D866E 7E01 - 3B71A640FF55A14C7407CEFF83C31E
C4E69654CD29E79F53AE674378E3F9 7D7C - 3D9569D9C08D22FDBFB2C3536D1C2B
F7A0E7B64F8556E83144AAD118C350 4385 - 3F7CBFE8C40EC4B599BA7DEA95321C
377C1D9F08C56C62B6809157F73774 BDE8 - 40D752497C600BD688BC1CE36A28BF
EC544BD68022B9EFEFF50FE8E114B5 5B1C - 42B17E87923CB88B6AE8F0666F963C
15614F89FA560E663A84A056957B74 BCA1 - 439B55164BFD60188D68B361E869B7
43C9B9C50F81EE2D7FBA063794E9F5 9C5D - 446CA24F01FE77F068EBC8CD90B752
9E5E7A76305A3DB12B84E8C21117C4 3A39 - 44CB88C5249DE0FE7DBBB9FEB782F1
D0327301DD6EC31810516BDFA79CC6 89BB - 45031B48FD957C9FF863B805684CAC
EB21CAF23F1CFFADE15915E88BD009 C347 - 45AEAFFA5A8E2124E8C35E7A0E8F05
5FB6BB5DED8A210AFD2D7FB30DCFC1 F91D - 461F427D71D6E2E2320ED5F8E6160D
6BEE23A98FF929D8D8B7567DCC6118 D937 - 4679460367675781E721E99B187160
146736BF5023E50A9731EB700705EE 1E58 - 4937C5750EFCE178E2ABAA5107FAB1
2122E444FF85DBA666CB33003C1582 9695 - 4976CE901F091D0A257ADFC2ACADF5
93A1B6593AA51A5949BF914C20D1B8 E626 - 49DA42D00CC3AD6379EAD2E07FD5F0
9BD358B144A6E78AAD4BB1A8298E2B B568 - 4B889D9C4BCA4AB17A918CB64A1BA0
D2E599A4F9A16A14D752C4E1D8352F E61F - 4CCC3A7C6B18DB6F7251C447E19E24
C9DDE30A45E78D283ED367F6F0165C 2FB1 - 4CF090E3AE23EA6CBE76DF697BF714
3BCC95ACFC1521FBE5AF77CB5033FA E87A - 4E66BEEA844C41EA0F5BA518F074A6
0D937A8F4EF5D09BD42C6D9ED15FA8 232B - 50A334FF766B053DEE01EE1E410EEB
C5A24144517C59F9317EC47BE9B70F 6C48 - 56DEA1387925E4E5EB3673C8656CE5
366A74D5F105A590AE321AC3B233E1 2B50 - 588A40E5D53016B2261E0822994306
3A71B40F034B998361C075BF7B8D52 45FE - 590EA5FA2DB24715D72C276C59434B
38D21678D6DCABB41F0E370F6DC56A B26B - 5950F7B8BB310671528EEEF934C532
903A48D3D6FD80D03F1988F0807531 001C - 5A5975CB3CAD1897786E2226D16053
01F10A82C3EC53D90F7CD442DB3329 564C - 5AA810E4891538670CC0DB6274B727
6ABE84E8CCBBAEF1D3B1208B9AD419 A9FA - 5AC1A43ADB1D5D693D2D9DCFF0A0D8
2873E21A20E7D76D5C698E688DDE7C 6BFA - 5B7CA58A5439E639951DC045415AD7
1796D902039B879336C7536E3813CD F8DE - 5C599177F8C885CD9B4836107FE980
F2CF67C3827D51197CE9AC1457B791 7401 - 5d4abf7721e27760bcac238c05ade2
ccc5ee4a842ad3b488462b156a26c3 4407 - 5E0587E61D94A40091480A2F5F7862
1362265B8702B3558A0DB536693159 865F - 613F0384286BF9956143E5CD7F885C
C9B2CF30ACAAB2FE67A891FF26AAA1 62FC - 614EF75F5D94B833B4E0C6CC329EB0
BE9FB05AD3FC5E8B4A1299A6721D71 EECF - 64036439D8424D555DE926EDCDB94B
E77B54E38B79B05752E1C14617C111 9454 - 6B9CA4CBB68F23E164625614D9D074
B7BB9E2C5AEB429034ED4D6440594C E64E - 6C7EDA3F5E9BBC685B0EEFDE2A51F0
CCB06AD33805E617876A5124410CAC 9945 - 6CD65E5FCA2EC394954EBF2881F610
E8727A9CBEEA624CDDFB37A5B8AA1A 6E5F - 6E3B77A1131912156C3F65F3B7E857
2BD2E02B8BB7180104E8BF36E2E145 1D43 - 6E627A092DF6D198AB7BA19A8F4F23
7059C602F83F44F8D58F2403BC06CD 043A - 6EEB8DE811F707EC3B77E212D415F0
D79DCA77B564D7738AE36612C457F4 51CC - 6F95B95D4C03CFBABEBF355D2E302A
243EB3B3D227CF06D9184FC9C1AFF5 4178 - 7143EDF164D55F36E514D78CF6A026
B6777A3105752EBB86A660C67821A6 3D1E - 71A4E701874C1A8E6BBDDA79038B08
B2FD36015A575FE167632EB629060B 416 - 72F9D83C7852F2247E24113CB379FF
F71C06F095910726EA79479F16AAC6 070F - 737648BF456A93FCCA84295EE0C735
A71B2C98120CAB0E98C5B940E3FD75 E451 - 74CFE9DEB35D57BBA5FB7119AB1C07
637DD90D2E27FC38C341D5422B4763 D90D - 7B7CCE10967D657B7AD0A66270DFEE
7000DAC8ACA2E39199C9713A4EE422 79C2 - 7DC751629D80EBBCB18FC08AB90C85
03825898A591F2C9FBB0D0145173C6 46F9 - 80F765C763CA57ECAAFF8FDB37DFBD
0A577EEDA1D74456A8645517576E61 7B81 - 85361265E3F97A280FD2950B49023F
8CFCB204A55BEDF8BA467F078A6E3C 45E0 - 853F52243FFDB3D14C9657B923E8D6
EF6ACCF14C43A758E47E0DF33E7758 83A6 - 85E84BC2EEAB7076BEF9E347767A34
91D32C3DB1B79DD3341C4B2AD99BAD 6C64 - 897737252CE8E474774548B99C9BB5
FC52484FE51DF8E5D87945186ADF7A 5DD5 - 8B80A84B2A0A5A5F9670A951492749
C3798C9F4D41589872224D57D41913 FB46 - 8C2DCE63957579F99A0E8C71755BD8
A69298A4621D7B8984B06B69ED874F 8D26 - 8DA6436EF4376EC2A2A9DBEFE2EF2F
782925842EEF665A4A6279E08411CC BCAD - 8E60F8AF3D15984ADE5527AD187BF7
40D1B0735E2AC6C05C27C46D579D39 513F - 8F0F50FA1AD8E3922B8C10E76AC8AC
970EBED56C4FD9EBB2BBF40088CDA7 F1B3 - 8F902D3901AE7F811678DBC71D87F0
4A0E27498FB9DA18D0EC3CF68D619B F84D - 930F1C048DEDDBFE067C50EA24A6DB
82BA79C728E0ECD2A436E7DC3772D6 2202 - 959C650E9B8E2B003D81E042DE8F4F
81C7671437124D74136D5EC26F32A7 2437 - 989408F2692A10B011471FBBDF55D9
CCC8E438308393B35736FE02B45EC8 C34C - 990594D6FB510DA51158DA683CB1CD
57F1A00DBD9FF25725040AD7A9A614 1187 - 9C7008F98F63699807B6CE8F62D438
FE15C3F2DF6F7BAC26B5F20A018559 C139 - 9CA1D2E2B96EB9286A2CCAE67E4DF2
3B072AC7ADFAEC5679E60288460260 A5D8 - A0FF2C622C32E05AEF8E7FB2E36B69
3AECC8CC04E049D3B47C0E0CB50D3A B575 - A18FE0C257ADA1E2E34298ED4F6571
06D8D7FFB6E56F03932A4189C3A959 841D - A5AF5ECBAB3ABA20B187245FB80ABC
29ACF1EB94E464311AEC8F62C8E02C 792F - A5D1100DC3AEC0A962CD2FF1A00CCB
3EDC503139DE228467B8A1BD31AB1E 4A1D - A6CC8BD23BBAFD0B356404EB24B502
36815A03ABDFCF8D280DBEDD5C45BF 6282 - A96815920693DB2588E64038F10C17
BB3C109DE086CEDFFD041CAC352820 BA89 - A9787581BE4C667438A07A060137D6
A83ABCC2D1E33EEF1086622DECE56B B48F - A9CE91A9A1BCBE2CD2EC023CDF2F30
2C8AC4F6BFE04E83A9C4EDD1C47B53 618E - AB0BECED52CAEBD816EE2088BF78B5
A4A97F4AFEA994156A2D314A5C99E8 8CA8 - ABF9A2DE38F28C4FCC4472A71E6294
52F144F73E56C9620CD2B05DBE4AC9 A542 - AE8E02D15C9B45A751E4E7F177F27F
5BA7663FE6EC4B53CC68A6C1F5C2A3 CFD9 - B54358907C603CD9933D30B2D88791
336486CFEA508DB0EDA45F367B79F2 3F92 - B561A5D5BB5CF659F7F23FD833244A
61031BC5C5E69972B22F4FF5C495A4 4203 - B6214517043D1B0BC41F9754F851A9
05C5AC4AF30E30A7C0725A93BFCC06 3374 - B929EA73A47347636C2C1148720C87
EF974FB101C831F71FFD28943FA20E B55F - BB4D0F67360858A27DA21D79BF93B5
C628045883712C3C2E10917BEBF677 1C44 - BBFFCD873B5FC74C4B15D3E9061670
68C968E5B0A7149775D42F9F7DCF05 7742 - BCFC1CC0E68409404C81F3D30C7A73
0C62693CCDD62424115C34CF3E35B2 5805 - BD1C7D8E9D02E9A637290E15755B3C
1644BBFD755F016C1552EA977C394C 04FD - BF62531E22B99B2757C777B7AC88D0
36061A44D78C095242136A23405A72 EBBF - C01323AAE6C62466BDA8E6347E6426
6C725E6A754B06D4FC4AAD1C323D3E 21ED - C632CE1DC34111C66EFB817F608BF3
B547FC9DF5FED478D736B4C53A41BA 193E - C7BA33D4EF49B5DD0E6AD4A17BB047
33DB4832C5EF6BC07DA51A0A4FFD7D 831F - CA9A44B15169B136D6A321C425DB5D
2BB15A448B840024EB30F01B47F8E1 CF00 - D0D8628B44DA07AAAC7D2BC0287897
B2ABAEAAEDED1D62CDEBB6B71078D8 2E3E - D55D96FD1F7DE8708506D207579751
44B9F68D3A7511A1883538498FCDE0 3227 - D57CFB4532C61BB54989B639533DBF
B594DDCEFE0DACB9143BAE6CB791D6 4A56 - D6223B02155D8A84BF1B31ED463092
A8D0E3E3CDB5D15A72B5638E69B67C 05B7 - DB11260B9EFF22F397C4EB6E2F50D0
2545DBB7440046C6F12DBC68E0F32D 57CE - DDB4776992155B9C5A26B47B53DF2F
ED780C67B45ECA5CBDF573E0DC3C20 C371 - DDE3C98B6A370FB8D1785F3134A76C
B465CD663DB20DFFE011DA57A4DE37 AA95 - DEA283B001D4831F4D1FA3B0B8FBBD
5BF3FCE091EB6F95892029F465CD75 1EC5 - E09FA0314E538EDC337989B4065A25
B07CCBF1F908DEF51B25FAD5A2DF16 E7F6 - E2148660AF56E9FDE27E26AE3DB205
CA2D68EF1CAF968E21F498FA94D8B5 6EF9 - E86234C97B85A388F5DF0A4900C190
2F402210A9F73C26C3F856E25AE61B B80F - EA4285821C6292CC0AC5B740D3BC77
484858432E29843A729434D4824879 3D82 - EBB1738B4908D7DDA95DA08D404684
F2EDE2CA8904D752A392F5BC3BB504 3423 - EF39979E9619EE75892F3C238DD464
E5876BD2124E923F763D08E352E502 26CA - F242308183C414A84B9574E0208FBD
9BCFFF9E6F329BBD1FA46CD3DE92A1 5B0E - F30ED88AE66EA8F90EC2F437702D77
36E64C7FEFDB70CE8B68AEBC772321 7B88 - F31B9F121C6C4FADAA44B804EC2A89
1C71B20439D043EA789B77873FA3AB 0ABB - F325804AB5ABC4D08F2D755A0B057E
3F39B11F462375AD93FCD800E572D8 32B7 - F35A18F35F7A907F049E41860A5CF4
47792153972A24CBFAD0431978AEF1 F611 - F5E26F3E00A60F7DF8595998F60892
3325F020C275442375856B921188F4 D1FA - F7FAC370FF01836FD82E68A9B95372
F612785087821EBD8FB89FE1DCF712 2B22 - FF6AC7F88558B5A78EDDD8D89FE451
EBEB1E68F450D199954345BA692D34 1B88
- 0057E3EEB63DC437FD587F6786665F
- Direcciones de correo electrónico identificadas:
- mrromber[@]cock[.]li
- fartcool[@]protonmail[.]ch
- sambolero[@]tutanoa[.]com
- mrromber[@]tutanota[.]com
- Ctorsenoria[@]tutanota[.]com
- Folieloi[@]protonmail[.]com
- rightcheck[@]cock[.]li
- sypress[@]protonmail[.]com
- bestcool[@]keemail[.]me
- tanoss[@]protonmail[.]com
- URLs relacionadas con esta campaña:
- https://pastebin[.]om/raw/
QFkaT0fQ
- https://pastebin[.]om/raw/
- Nombres de archivos:
- svchostt[.]exe
- HOW_TO_OPEN_FILES[.]html
- Advanced Port Scanner 2.4.2750[.]exe
- d_upd1008[.]exe
- fix[.]exe
- NetworkShare_pre2[.]exe
- b[.]bat
- n[.]exe
- NetworkShare[.]exe
- kamikadze/32[.]exe
- kamikadze/64[.]exe
- kamikadze/64_log[.]txt
- kamikadze/dump[.]bat
- kamikadze/mimidrv (2)[.]sys
- kamikadze/mimilib (2)[.]dll
- kamikadze/86_log[.]txt
- kamikadze/mimidrv[.]sys
- kamikadze/mimilib[.]dll
- qzx[.]txt
- Rutas del sistema de archivos:
- C:\Users\****\AppData\Local\
Temp\qzx[.]ps1
- C:\Users\****\AppData\Local\
- Llaves de registro:
- HKCU\SOFTWARE\Medusa
- HKLM\SOFTWARE\Microsoft\
Windows\CurrentVersion\ Policies\System\ –>EnableLinkedConnections = 1 - HKEY_LOCAL_MACHINE\SOFTWARE\
Microsoft\Windows\ CurrentVersion\Policies\System –> ConsentPromptBehaviorAdmin = 5 - HKEY_LOCAL_MACHINE\SOFTWARE\
Microsoft\Windows\ CurrentVersion\Policies\System –> EnableLUA = 1
Medidas de contención
- No abrir documentos cuyo origen sea desconocido y/o sospechoso.
- Verificar el remitente de cada correo electrónico antes de realizar la descarga de cualquier documento adjunto.
- Deshabilitar la ejecución automática de macros en documentos Microsoft Office.
- Identificar los equipos internos que hayan podido realizar algún tipo de comunicación con los indicadores notificados.
- Mostrar extensiones para tipos de archivos conocidos, con el fin de identificar posibles archivos ejecutables que pudieren hacerse pasar por otro tipo de archivo.
- Implementar dispositivos de seguridad que permitan identificar y bloquear peticiones maliciosas hacia o desde los equipos de su infraestructura: IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, etc.
- Aplicar una correcta seguridad perimetral e introducir los indicadores de compromiso proporcionados.
- Definir reglas basadas en listas blancas, que permitan únicamente conexiones autorizadas entrantes y salientes desde las plataformas tecnológicas.
- Utilizar una solución efectiva de filtrado de programas maliciosos y antispam.
- Realizar copias de seguridad de manera periódica de la información crítica de la organización y mantenerlas aisladas y sin conectividad con otros sistemas.
- Aplicar las actualizaciones de seguridad de forma regular en dispositivos de hardware y software.
- Limitar el uso del protocolo SMB cuando no sea necesario.
Referencias
- https://blog.
talosintelligence.com/2020/04/ medusalocker.html - https://blog.avast.com/es/
medusalocker-ransomware-at- large-avast/ - https://www.bleepingcomputer.
com/news/security/ medusalocker-ransomware-wants- its-share-of-your-money/ - hhttps://www.mcafee.com/
enterprise/en-us/threat- center/threat-landscape- dashboard/ransomware-details. medusalocker-ransomware.html