BabyLockerKZ:新型MedusaLocker勒索病毒变种
关键要点
BabyLockerKZ是MedusaLocker勒索病毒的一个变种,由使用自定义工具包“paidmemes”的威胁行为者传播。该变种于2023年底首次出现,使用“ hazard”作为被加密文件的扩展名。威胁行为者通常针对组织,月均影响超过100个受害者。根据思科Talos发布的研究,新型MedusaLocker勒索病毒变种“BabyLockerKZ”正在被一个使用自定义工具包“paidmemes”的威胁行为者传播。
MedusaLocker勒索病毒概述
MedusaLocker勒索病毒大约在2019年9月首次出现,使用AES和RSA2048的组合对受害者的文件进行加密。至2023年初,使用MedusaLocker的威胁行为者已知通过利用Microsoft远程桌面协议的脆弱配置来获得初始网络访问,并主要针对医疗行业。
shadow rocket小火箭下载BabyLockerKZ变种于2023年末首次被发现,它使用“hazard”作为被加密文件的扩展名。该名称来源于此MedusaLocker变种特有的自动运行键。
付费工具包“paidmemes”
思科Talos的研究人员认为,BabyLockerKZ是一个未公开身份的、出于财务动机的威胁行为者的产物,该行为者至少自2022年底以来就活跃,并以其工具集而闻名,该工具集的程序数据库PDB路径包含“paidmemes”字符串。
“paidmemes”工具包主要包含一些流行的、公开可用工具的封装,例如:
工具功能Mimikatz凭证提取工具HRSword禁用防病毒和终端检测反应AdvancedPortScanner网络扫描工具Processhacker进程监控工具此外,威胁行为者使用更创新的工具来简化和自动化与其他工具之间的交互,同时为恶意软件提供图形用户界面GUI。例如,名为“Checker”的工具将Remote Desktop Plus、PSEXEC、Mimikatz以及基于开源的InvokeTheHash工具的脚本捆绑在一起。
Checker工具
根据思科Talos的说法,Checker可用于扫描IP以查找有效凭证、从主机和工具中导入数据、解密哈希并通过简单的GUI将发现的凭证存储在数据库中。攻击者通常将“paidmemes”工具,包括Checker,存放在受害者机器的音乐、图片或文档用户文件夹中。
变种比较
BabyLockerKZ变种与其他MedusaLocker版本高度相似,使用相同的聊天和泄漏网站,但在以下方面有所不同:
使用BabyLockerKZ运行键PAIDMEMES公共和私钥缺乏“MDSLK”注册表项缺乏{8761ABBD7F8542EEB272A76179687C63}互斥体据思科Talos的遥测数据显示,该威胁行为者似乎是机会主义性地针对组织,通常每月影响全球超过100个受害者。研究人员表示,该威胁行为者的活动类似于财务动机攻击者的行为,如初始访问经纪人或勒索软件联盟。
有关BabyLockerKZ和paidmemes的战术、技术与程序TTPs以及妥协指标IoC的完整列表,请参见思科Talos的博客文章。
