Cisco Talos ha pubblicato una ricerca che denuncia le attività di un gruppo di criminali informatici impegnati a diffondere una variante del ransomware MedusaLocker, nota come “BabyLockerKZ”. Secondo quanto spiega la multinazionale si tratta di una minaccia che sta colpendo più di 100 organizzazioni al mese.
MedusaLocker, che tipo di minaccia è?
I criminali informatici sono attivi almeno dall’ottobre 2022 con gli obiettivi per lo più situati in Paesi europei come Italia, Francia, Germania e Spagna. Nel secondo trimestre del 2023, il volume degli attacchi mensili è quasi raddoppiato e il gruppo ha cominciato a colpire alcuni Paesi del Sud America, come Brasile, Messico, Argentina e Colombia.
Un recente attacco ha portato all’installazione di una variante del ransomware MedusaLocker chiamata “BabyLockerKZ”, osservata da Cisco Talos. Le tecniche utilizzate, come il salvataggio costante degli stessi strumenti nella medesima posizione sui sistemi compromessi e l’uso di strumenti con il percorso PDB contenente la stringa “paid_memes”, oltre a un tool di movimento laterale chiamato “checker”, hanno spinto a un’analisi più approfondita del gruppo.
Questo attore utilizza strumenti d’attacco noti e “living-off-the-land binaries” (LoLBins), insieme a tool sviluppati dallo stesso autore (possibilmente l’attaccante stesso), per rubare credenziali e muoversi lateralmente nelle organizzazioni violate. Questi strumenti sono perlopiù wrapper che aggiungono funzionalità ai tool pubblici, semplificando l’attacco e offrendo interfacce grafiche o a riga di comando.
Si ritiene con moderata certezza che il gruppo abbia motivazioni finanziarie. Le telemetrie indicano che il gruppo ha colpito globalmente, inizialmente in Europa a fine 2022 e inizio 2023, per poi spostare il focus verso i Paesi sudamericani, raddoppiando il numero di vittime mensili dal primo trimestre del 2023.