🚀 A CloudSEK se torna a primeira empresa de segurança cibernética de origem indiana a receber investimentos da Estado dos EUA fundo
🚀 CloudSEK se torna a primeira empresa indiana de segurança cibernética a fazer parceria com o The Private Office
🚀 O CloudSEK aumentou Rodada da Série B1 de $19 milhões — Potencializando o futuro da cibersegurança preditiva
Voltar
Malware Intelligence

Análise técnica do MedusaLocker Ransomware

Análise técnica do MedusaLocker Ransomware
September 29, 2022
min
Tabela de conteúdo
Exemplo H2
Exemplo H2

Autor: Anandeshwar Unnikrishnan
Editora: Bablu Kumar

Pesquisas indicam que, embora os custos de violação de ransomware tenham diminuído ligeiramente de USD 4,62 milhões para USD 4,54 milhões em 2021, o ransomware ainda é responsável por 11% das violações. Os setores mais visados (cerca de 57%) são instituições governamentais, de tecnologia, saúde e acadêmicas.

Armário Medusa é uma família de ransomware que surgiu em setembro de 2019 e foi empregada rapidamente para ataques a empresas de todo o mundo. Foi especialmente voltado para hospitais e outras organizações do setor de saúde.

Este relatório técnico é inspirado no Comunicado de Segurança Cibernética da CISA e fornece uma análise aprofundada do malware e de seu aumento de privilégios, antidetecção, verificação de rede, técnicas de criptografia etc.

Modus Operandi

  • O MedusaLocker depende predominantemente de vulnerabilidades no Remote Desktop Protocol (RDP) para acessar as redes das vítimas.
  • Os dados da vítima são criptografados e uma nota de resgate com instruções de comunicação é colocada em cada pasta contendo um arquivo criptografado.
  • As vítimas recebem um endereço de carteira Bitcoin específico para resgate.
  • O Medusa possivelmente opera como um modelo de Ransomware-as-a-Service (RaaS).

Resumo técnico

  • O ransomware realiza o desvio do UAC (escalonamento de privilégios) para executar o malware com direitos administrativos.
  • Os dados do usuário são bloqueados usando AES e a chave AES é protegida com criptografia RSA.
  • Uma tarefa agendada é criada para executar o armário a cada 15 minutos.
  • O ransomware enumera e encerra processos específicos em execução no sistema de destino. Alguns serviços são excluídos para garantir uma execução tranquila.
  • Um reconhecimento de rede também pode ser realizado por meio de uma varredura de ping para identificar ativos conectados.
  • O ransomware pode bloquear arquivos em sistemas locais e conectados.

Leia também o relatório detalhado sobre Aumento dos ataques cibernéticos no setor de saúde global

Análise técnica

Estágio I — Operações de pré-criptografia

O MedusaLocker inicia sua execução recuperando as informações locais da vítima, como a região e o idioma definidos pelo usuário.

Criação de mutex

Um mutex é criado para garantir que várias instâncias de malware não sejam executadas no sistema comprometido.

Process of mutex creation
Processo de criação de mutex

 

Após a verificação de mutex, o malware continua verificando seu aumento de privilégios obtendo um token de processo do malware e verificando se o token está elevado por meio do”Classe TokenElevation” passado para AdvAPI 3.2. Obtenha informações sobre o token API. Dessa forma, o malware pode confirmar se está sendo executado com privilégios elevados de um shell de administrador.

Escalação de privilégios

Preparing for privilege escalation
Preparando-se para a escalação de privilégios

 

Se o malware não estiver sendo executado com privilégios elevados, ele executa um desvio de elevação do UAC por meio do CMSTPLUA COM interface. O mecanismo de desvio do UAC (Controle de Conta de Usuário) é um vetor muito usado e muito comum visto no ransomware para obter acesso aos recursos com alto nível de integridade, obtendo assim privilégios administrativos no sistema de destino.

Leia também O que é o ransomware Redeemer e como ele se espalha: uma análise técnica

Depois de elevar o processo, o malware continua desativando dois recursos, Habilitar LUA e Comportamento de solicitação de consentimento Administrador, responsável por notificar o usuário sobre qualquer atividade suspeita no sistema por meio do registro.

Disabling the two features via registry
Desativando os dois recursos via registro

 

Uma nova chave de registro “MDSLK” é criado pelo malware no sistema da vítima. Esta é uma das claras indicadores do MedusaLocker.

Creation of new registry key “MDSLK”
Criação da nova chave de registro “MDSLK”

 

Inicialização criptográfica

O MedusaLocker usa AES e RSA em sua operação de bloqueio. O Advanced Encryption Standard (AES) é uma cifra de bloco simétrica implementada para criptografar dados confidenciais. O RSA é um sistema criptográfico de chave pública usado para transmissão segura de dados.

Os dados do usuário são criptografados usando AES e a chave AES é protegida pela criptografia RSA.

Inicialização do contexto criptográfico para RSA pelo malware

Inicialização do contexto criptográfico para AES pelo malware

Persistência

O MedusaLocker continua copiando o arquivo de malware para %DADOS DO APLICATIVO% do usuário como svhost.exe. A pasta AppData contém configurações personalizadas e outras informações que os aplicativos do sistema precisam para sua operação. É uma pasta oculta que inclui configurações de aplicativos, arquivos e dados exclusivos de diferentes aplicativos, além de todos os dados específicos do perfil de usuário do sistema.

Então, ao abusar do Agendador de tarefas COM classe 0f87369f-a4e5-4cfc-bd3e-73e6154572dd, um trabalho agendado é criado no sistema de destino que executa o malware, a cada 15 minutos.

Copying malware to the APPDATA folder and creating a scheduled job
Copiar malware para a pasta APPDATA e criar um trabalho agendado

 

O rclsid value ajuda a identificar a classe específica visada pelo malware para atingir um objetivo. Nesse caso, o CARTEIRA DE IDENTIDADE valor 0f87369f-a4e5-4cfc-bd3e-73e6154572dd confirma que o malware está acessando a classe de agendador de tarefas implementada por C:\Windows\System32\taskschd.dll.

Malware targeting the task scheduler class
Malware direcionado à classe de agendador de tarefas

 

Enumeração de dispositivos e volumes

Um volume ou unidade lógica é uma única área de armazenamento acessível com um único sistema de arquivos, geralmente residente em uma única partição de um disco rígido. Antes do processo de criptografia, o MedusaLocker enumera (a enumeração expõe possíveis falhas de segurança) os volumes locais e os compartilhamentos anexados no sistema de destino. Ao investigar mais detalhadamente o código, descobriu-se que as seguintes APIs eram usadas para realizar a enumeração:

  • Obtenha unidades lógicas
  • Conexão WNetGetW
  • Encontre o primeiro volume W
  • Consultar dispositivos DOS
  • Encontre o próximo volume W

O malware tem como alvo a partição SystemReserved ao montá-la por meio de setVolumeMountPointW. Durante a fase de bloqueio, os dados da partição reservada são criptografados para evitar a recuperação dos dados.

Malware targeting the SystemReserved partition
Malware direcionado à partição SystemReserved

Leia também Análise técnica da campanha de malware “Blister” assinada por código (Parte 1)

Encerramento do serviço e do processo

Após a enumeração do volume e a montagem da partição reservada, o MedusaLocker encerra uma lista de processos e exclui os serviços do sistema. A tabela abaixo contém uma lista dos serviços visados pela Medusa.

Serviços a serem encerradosWrapperdefwatchccevtmgrccsetmgrsavroamsqlservrsqlAgentsqlAdhlpculServer RtvScanSQL BrowsersqlAdhlpqbidpserviceintuit.quickbooks.fcsqbcfmonitorservicesqlwritermsmdsrvsqladhlptomcat6zhudongfangyuvmware-usbarbitator64vmware-usbarbitator64vmware Conversor Ware DBSRV12D para Beng8

O malware abre cada serviço na lista por meio do API OpenServices e monitora seu estado via Status do serviço de consulta X. Se o estado do serviço for SERVICE_STOP_PENDING em seguida, o malware dorme até que uma nova mudança de estado aconteça.

Locker waits for a state change
Locker espera por uma mudança de estado

 

Quando ocorre uma mudança de estado, o Medusa recupera e interrompe os serviços (dependendo do serviço de destino) enviando um SERVICE_CONTROL_STOP sinal de controle.

Sending a SERVICE_CONTROL_STOP control signal
Enviando um sinal de controle SERVICE_CONTROL_STOP

 

Depois de interromper o serviço, o malware também exclui esse serviço.

Locker deletes services after stopping it
O Locker exclui serviços após interrompê-lo

 

O armário recupera um ponteiro para a estrutura que contém os processos ativos no sistema e percorre a lista via Criar um instantâneo do ToolHelp32, Processe 32 First W, e Process32 NextW APIs. Se uma correspondência for encontrada, o processo será encerrado por meio do Encerrar processo API.

Code for terminating processes
Código para encerrar processos

 

A tabela abaixo contém a lista de processos em execução direcionados pela Medusa.

Processos em execução que estão sendo direcionadoswxserver.exe EwxServerViewSqlServer.exeSQLMangr.exeragui.exesupervise.execulture.exertvscan.exedefwatch.exeSQLBrowser.exewinword.exeqbw32.exeqbdbmgr.exeqbcfmonitorservice.exeaxlbridge.exe eqbidpservice.exehttpd.exefdlauncher.exeSDTSrvr.exeTomcat6.exejava.exe360se.exe360doctor.exeWDSwfsafe.exefdlauncher.exefdhost.exegdscan.exezhudongfangyu.exe

Recuperação e remoção de backup

Depois que todos os processos e serviços forem enumerados, o malware remove os backups e neutraliza os mecanismos de recuperação antes de criptografar os dados.

Preparing for backups removal and neutralizing recovery mechanisms
Preparação para a remoção de backups e neutralização dos mecanismos de recuperação

 

Para executar os comandos de string acima, um novo processo é criado e a string é passada como parâmetro.

Creation of a new process to execute the commands
Criação de um novo processo para executar os comandos

 

O malware então esvazia a lixeira.

Malware clearing the recycle bin
Malware limpando a lixeira

 

Escaneamento de rede

O MedusaLocker permite o Ativar conexões vinculadas recurso no registro para tornar os compartilhamentos remotos acessíveis a partir da sessão elevada do processo administrativo. Esse recurso desempenha um papel importante em um ambiente de rede, especialmente quando o usuário deseja acessar um recurso de rede a partir de um processo elevado.

Locker preparing to make the remote shares accessible
Armário se preparando para tornar os compartilhamentos remotos acessíveis

 

O ransomware é capaz de criar pacotes ICMP e enviá-los pela rede para verificar instâncias conectadas e enumerar compartilhamentos anexados.

Code for implementing the ICMP scan to enumerate the connected hosts in the network.
Código para implementar a verificação ICMP para enumerar os hosts conectados na rede.

 

Leia também Análise técnica da campanha de malware “Blister” assinada por código (Parte 2)

Depois de realizar a varredura, o MedusaLocker usa NetShare Enum API para coletar informações sobre os recursos compartilhados pelo servidor remoto na rede. Isso mostra a capacidade do malware de infectar recursos conectados à rede comprometida..

Code for infecting resources connected to the compromised network
Código para infectar recursos conectados à rede comprometida

 

Estágio II — Criptografia e bloqueio

O armário tem fluxos de controle separados para bloquear os dados do usuário em um sistema local e em hosts conectados à rede. A rotina de criptografia (Sub_5258E0) usado em ambos os casos é o mesmo.

Malware’s control flow for encryption and locking
Fluxo de controle do malware para criptografia e bloqueio

 

A rotina de criptografia é implementada da seguinte forma:

  • O ransomware cria um novo arquivo para salvar os dados criptografados via Criar arquivo W API.
  • O sub_535840 executa a criptografia e grava os dados no arquivo recém-criado.
  • O Mova o arquivo EXW A API é usada para renomear o arquivo e adicionar”.marlock11” extensão.
Code for the implementation of the encryption routine
Código para a implementação da rotina de criptografia

 

Indicadores de compromisso (IOCs)

Hashes executá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 8207c85722f13

 

Nenhum item encontrado.

Blogs relacionados

Este é um texto dentro de um bloco div.
Malware Intelligence
August 27, 2025
9
min
O preço da confiança: analisando a campanha de malware que explora o legado da TASPEN para atingir idosos indonésios
Leia mais
Este é um texto dentro de um bloco div.
Malware Intelligence
July 25, 2025
6
min
Atores de ameaças induzem as vítimas a baixar arquivos.HTA usando o ClickFix para espalhar o ransomware Epsilon Red
Leia mais
Este é um texto dentro de um bloco div.
Malware Intelligence
March 25, 2025
6
min
Criadores do YouTube estão sitiados novamente: a técnica Clickflix alimenta ataques de malware
Leia mais