Viernes 10 de abril del 2020.
Ciudad de México, México
MedusaLocker es un ransomware que ha estado activo desde al menos octubre del año 2019, funciona encriptando los datos y manteniéndolos bloqueados hasta que se pague un rescate.
Se propaga principalmente a través de campañas de spam, troyanos, herramientas de piratería (activación), actualizadores falsos y canales de descarga dudosos.
Las campañas de spam se usan para enviar miles de correos engañosos que contienen archivos adjuntos maliciosos o enlaces web que apuntan a ellos. Los correos electrónicos suelen estar etiquetados como «urgentes», «oficiales», «Importantes»; etc. Los adjuntos pueden estar en varios formatos de archivo (.EXE, .PDF y Microsoft Office, JavaScript, etc.) y una vez abiertos ocasionan la infección.
IOC
HASH
• MD5 Hash:19ddac9782acd73f66c5fe040e86ddee • SHA1 Hash:24ceba1e2951cde8e41939da21c6ba3030fc531d
Archivos Asociados:
• HOW_TO_RECOVER_DATA.html • %UserProfile%\AppData\Roaming\svchostt.exe • C:\Windows\System32\Tasks\svchostt
Emails Asociados
• sambolero@tutanoa.com • rightcheck@cock.li • folieloi@protonmail.com • ctorsenoria@tutanota.com
Recomendaciones:
• Asegurarse de que el software antivirus se encuentre actualizado.
• Bloquear los IOC en la infraestructura de seguridad de la Organización.
• Tener cuidado con los correos electrónicos de dudosa procedencia.
• Concientización en Ciberseguridad a los usuarios de la Organización.
Atentamente
SOC ZERU
soc@adv-ic.com
Blog Ciberseguridad ADV integradores y consultores 