Cisco Talos ha appena pubblicato una ricerca che evidenzia un gruppo di criminali informatici che sta distribuendo una variante del ransomware MedusaLocker, nota come “BabyLockerKZ”, un ransomware che sta compromettendo più di 100 organizzazioni al mese. Talos ha recentemente osservato un attacco che ha portato all’implementazione di una variante del ransomware MedusaLocker nota come “BabyLockerKZ”. Le tecniche distinguibili, tra cui l’archiviazione coerente dello stesso set di strumenti nella stessa posizione su sistemi compromessi, l’uso di strumenti che hanno il percorso Pdb con la stringa “paid_memes” e l’uso di uno strumento di movimento laterale denominato “checker”, utilizzate nell’attacco ci hanno portato a dare un’occhiata più approfondita per cercare di capire di più su questo attore della minaccia. Questo aggressore utilizza diversi strumenti di attacco noti al pubblico e binari living-off-the-land (LoLBins), un set di strumenti creati dallo stesso sviluppatore (probabilmente l’aggressore) per assistere nel furto di credenziali e nel movimento laterale nelle organizzazioni compromesse. Questi strumenti sono per lo più wrapper attorno a strumenti disponibili al pubblico che includono funzionalità aggiuntive per semplificare il processo di attacco e fornire interfacce grafiche o da riga di comando. Lo stesso sviluppatore ha creato la variante MedusaLocker utilizzata nell’attacco iniziale. Questa variante che utilizza gli stessi Url di chat e leak del sito contiene diverse differenze rispetto al ransomware MedusaLocker originale, come una chiave di esecuzione automatica diversa o un set di chiavi pubbliche e private extra memorizzato nel registro. In base al nome della chiave di esecuzione automatica, gli aggressori chiamano questa variante “BabyLockerKZ”.
I criminali sono attivi almeno dall’ottobre 2022 con gli obiettivi per lo più situati in Paesi europei come Italia, Francia, Germania e Spagna. Nel secondo trimestre del 2023, il volume degli attacchi mensili è quasi raddoppiato e il gruppo ha cominciato a colpire alcuni Paesi del Sud America, come Brasile, Messico, Argentina e Colombia. Gli attacchi hanno colpito con successo un elevato numero di organizzazioni, raggiungendo una media di oltre 100 vittime al mese.
