CISA Peringatkan Aktivitas Terbaru Ransomware MedusaLocker

CISA Peringatkan Aktivitas Terbaru Ransomware MedusaLocker

Posted by : Admin , Aug 29, 2022
FBI, CISA, Department of Treasury, dan Financial Crime Enforcement Network (FinCEN) telah mengeluarkan joint advisory yang menyoroti aktivitas terbaru ransomware MedusaLocker. Pada Mei 2022, operator ransomware sangat mengandalkan kerentanan di Remote Desktop Protocol (RDP) untuk mengakses jaringan korban. Setelah dieksekusi, ransomware mengenkripsi data korban dan meninggalkan catatan tebusan dengan instruksi untuk mendekripsi file. Catatan tersebut mengarahkan korban ke alamat dompet Bitcoin tertentu untuk melakukan pembayaran ransomware. Proses rantai infeksi awal dimulai dengan metode email phishing. Setelah aktor mendapatkan akses awal, skrip PowerShell dikerahkan untuk menyebarkan ransomware ke seluruh jaringan. Selain itu, ransomware juga mematikan proses perimeter keamanan (software) dan forensik mempertahankan kegigihan untuk jangka waktu yang lebih lama. Setelah mesin dalam mode aman, MedusaLocker menggunakan algoritma AES-256 dan RSA-2048 untuk mengenkripsi file.