De FBI en verschillende andere Amerikaanse overheidsinstanties hebben een gezamenlijke waarschuwing gegeven voor ransomware die voornamelijk via kwetsbare rdp-configuraties organisaties binnendringt. Het zou dan gaan om rdp-systemen die kwetsbaar voor bruteforce-aanvallen zijn. Daarnaast gebruiken de criminelen achter de MedusaLocker-ransomware ook e-mailbijlagen als aanvalsvector.
MedusaLocker wordt aangeboden als Ransomware-as-a-Service (RaaS). Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. De verspreider van de ransomware krijgt zo'n zestig procent van het losgeld, de rest gaat naar de ontwikkelaar.
Eenmaal actief op een systeem schakelt MedusaLocker bepaalde beveiligings-, boekhoud en forensische software uit, zo laten de Amerikaanse overheidsdiensten weten. Vervolgens wordt de machine in veilige modus herstart om detectie door beveiligingssoftware te voorkomen. Hierna worden allerlei bestanden versleuteld en lokale back-ups en shadow kopieën verwijderd. Tevens schakelt de ransomware verschillende herstelopties van het besturingssysteem uit.
In de waarschuwing geeft de FBI verschillende Indicators of Compromise, zoals gebruikte bitcoinwallets, e-mailadressen en ip-adressen, die organisaties kunnen gebruiken om zich te beschermen. Ook worden tips gegeven om infecties te voorkomen, zoals het uitschakelen van ongebruikte poorten, updaten van software, verplichten van multifactorauthenticatie en het focussen op cybersecurity awareness en training.
Deze posting is gelocked. Reageren is niet meer mogelijk.