MedusaLocker est un malware extrêmement actif au moment de la rédaction de cet article, y compris sur le territoire français. Il est apparu pour la première fois en septembre 2019 et fait son grand retour cette année. Ce type de menace fait partie de la famille des RAAS (Ransomware-As-A-Service), il permet à l’attaquant de sous-traiter les tâches fastidieuses et risquées de développement et de récupération de rançon associées à toute campagne de malware. Il existe de nombreux variants associés à cette menace.
C’est dans ce contexte qu’un variant actuellement actif a été détecté par l’un des EDR (Endpoint Detection Response) de TEHTRIS et envoyé automatiquement à la CTI (Cyber Threat Intelligence) pour analyse. Les reverseurs ont alors pu ajouter des capacités d’extraction de configuration de ce variant.
Que fait concrètement TEHTRIS face à cette menace pressante ?
- Identification : Après détection, ce malware est répertorié dans la sandbox et permet ainsi aux analystes d’identifier immédiatement la source de la menace.
- Désobfuscation de la configuration du malware : Le malware en question utilisant de l’obfuscation (T1001) pour rendre sa configuration illisible, les outils d’analyse dynamique de la sandbox TEHTRIS permettent de déchiffrer et d’afficher à l’analyste la configuration complète du malware. Il peut alors récupérer les commandes exécutées, les fichiers qui seront chiffrés, le message de rançon, les chemins ignorés, la clé cryptographique, les fonctionnalités de performance associée à la campagne correspondant au malware analysé. Exemple ci-dessous avec la comparaison entre la configuration obfusquée, et celle extraite automatiquement pour l’analyste.
Configuration de MedusaLocker :
Extrait de la configuration du malware affichée par l’outil CTI :
IOCs (Indicateurs de compromission):
- 51b8a283f87a95edb5e98125e5730bcf843fc7ec8fcdc175c8dc0ba3032e8a51
- c1d4014e65a8d79e555378dbf8e5db5786e3b6e4c841f7f64a3f40318bb59e60
- d9de562ac1815bf0baad1c617c6c7f47d71f46810c348f7372a88b296d68cfae
- 951facf3f3ef6f6163aa87383953132563d8ef1508b60cb130b1b7d5b96552aa
- f584c124d92b09ba12d2538d52300dc38ef255c6ad23c30e7569ff1920388c50
- b896605b97ae9e2781b21dc5cfb64eec0fc4effa76a7ef33e9cef0b258dff35f
TEHTRIS CTI (Cyber Threat Intelligence) est une base de connaissances des menaces étendue. Cette base existe depuis 2014 et a connu de multiples évolutions techniques pour suivre ou devancer les nouveautés offensives.
TEHTRIS CTI, intégrée par défaut à la TEHTRIS XDR Platform.
TEHTRIS CTI a une particularité : son intégration est totalement native à la TEHTRIS XDR Platform et tous nos outils (EDR, EPP, SIEM, etc.) lui sont ainsi immédiatement et systématiquement reliés.
Ainsi, TEHTRIS CTI est capable non seulement d’enrichir votre cyber arsenal défensif, de fournir des capacités d’analyse, de hunting et d’investigation Forensic, mais également de se nourrir des informations partagées entre les environnements clients TEHTRIS et des différentes bases de connaissances externes.
TEHTRIS CTI vous offre une vision élargie sur les menaces qui s’actualise continuellement, afin d’établir une cybersécurité à la fois solide et pertinente.