Cisco Talos ha identificato la variante grazie ad alcuni elementi, come la presenza della stringa “paid_memes” nel percorso Program Database (PDB).
Una nuova variante ransomware di MedusaLocker
Per agire i cybercriminali utilizzano diversi strumenti noti e binari “living-off-the-land” (LoLBins). Si tratta di strumenti già presenti sui sistemi delle vittime che vengono utilizzati per permettere agli attaccanti di rubare credenziali e dati sensibili. Per ottenere tali informazioni il gruppo ha utilizzato una serie di strumenti specifici. Quest’ultimi gli hanno permesso di spostarsi lateralmente nelle reti compromesse. Tra gli strumenti usati c’è il software denominato “checker“.
Inoltre, come anticipato, il ransomware BabyLockerKZ è una variante dell’originale MedusaLocker. La prima presenta alcune differenze significative, come una chiave di autorun differente. Inoltre, vengono utilizzare, come aggiunta, chiavi pubbliche e private. Quest’ultime vengono memorizzate nel registro del sistema in questione.
Secondo quanto riportato da Cisco Talos, il gruppo dietro BabyLockerKZ potrebbe agire da intermediario di un cartello del ransomware. Inoltre, l’attacco ha colpito organizzazioni di dimensioni e settori differenti. L’attacco ha una portata globale, anche se come anticipato si sofferma su determinate zone. In particolare, nel 2023 gli attacchi del ransomware si sono soffermati in alcuni Paesi europei. Mentre dalla seconda metà del 2023 in poi sono stati spostati nel Sud America.
La ricerca condotta da Cisco Talos ha mostrato alcuni dettagli importanti riguardanti il ransomware e il suo funzionamento. Inoltre, l’analisi evidenzia anche le tecniche che vengono utilizzate dal gruppo. Tali informazioni risultano particolarmente utili per le aziende che potrebbero essere vittime del ransomware. Quest’ultime hanno bisogno di rafforzare le difese e i sistemi di prevenzione in vista di possibili nuovi attacchi.