MedusaLocker activo en usuarios de Teletrabajo

Viernes 10 de abril del 2020.
Ciudad de México, México 

MedusaLocker es un ransomware que ha estado activo desde al menos octubre del año 2019, funciona encriptando los datos y manteniéndolos bloqueados hasta que se pague un rescate.
Se propaga principalmente a través de campañas de spam, troyanos, herramientas de piratería (activación), actualizadores falsos y canales de descarga dudosos.
Las campañas de spam se usan para enviar miles de correos engañosos que contienen archivos adjuntos maliciosos o enlaces web que apuntan a ellos. Los correos electrónicos suelen estar etiquetados como “urgentes”, “oficiales”, “Importantes”; etc. Los adjuntos pueden estar en varios formatos de archivo  (.EXE, .PDF y Microsoft Office, JavaScript, etc.) y una vez abiertos ocasionan la infección.

IOC

HASH
• MD5 Hash:19ddac9782acd73f66c5fe040e86ddee • SHA1 Hash:24ceba1e2951cde8e41939da21c6ba3030fc531d
Archivos Asociados:
• HOW_TO_RECOVER_DATA.html • %UserProfile%\AppData\Roaming\svchostt.exe • C:\Windows\System32\Tasks\svchostt
Emails Asociados
• sambolero@tutanoa.com • rightcheck@cock.li • folieloi@protonmail.com • ctorsenoria@tutanota.com

Recomendaciones:

• Asegurarse de que el software antivirus se encuentre actualizado.

• Bloquear los IOC en la infraestructura de seguridad de la Organización. 

• Tener cuidado con los correos electrónicos de dudosa procedencia.

• Concientización en Ciberseguridad a los usuarios de la Organización.

Atentamente
SOC ZERU

soc@adv-ic.com

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s