BabyLockerKZ：新型MedusaLocker勒索病毒变种

关键要点

• BabyLockerKZ是MedusaLocker勒索病毒的一个变种，由使用自定义工具包“paid_memes”的威胁行为者传播。
• 该变种于2023年底首次出现，使用“ .hazard”作为被加密文件的扩展名。
• 威胁行为者通常针对组织，月均影响超过100个受害者。

根据，新型MedusaLocker勒索病毒变种“BabyLockerKZ”正在被一个使用自定义工具包“paid_memes”的威胁行为者传播。

MedusaLocker勒索病毒概述

MedusaLocker勒索病毒大约在2019年9月首次出现，使用AES和RSA-2048的组合对受害者的文件进行加密。至2023年初，使用MedusaLocker的威胁行为者已知通过利用Microsoft远程桌面协议的脆弱配置来获得初始网络访问，并主要针对医疗行业。

BabyLockerKZ变种于2023年末首次被发现，它使用“.hazard”作为被加密文件的扩展名。该名称来源于此MedusaLocker变种特有的自动运行键。

付费工具包“paid_memes”

思科Talos的研究人员认为，BabyLockerKZ是一个未公开身份的、出于财务动机的威胁行为者的产物，该行为者至少自2022年底以来就活跃，并以其工具集而闻名，该工具集的程序数据库（PDB）路径包含“paid_memes”字符串。

“paid_memes”工具包主要包含一些流行的、公开可用工具的封装，例如：

此外，威胁行为者使用更创新的工具来简化和自动化与其他工具之间的交互，同时为恶意软件提供图形用户界面（GUI）。例如，名为“Checker”的工具将RemoteDesktop Plus、PSEXEC、Mimikatz以及基于开源的Invoke-TheHash工具的脚本捆绑在一起。

Checker工具

根据思科Talos的说法，Checker可用于扫描IP以查找有效凭证、从主机和工具中导入数据、解密哈希并通过简单的GUI将发现的凭证存储在数据库中。攻击者通常将“paid_memes”工具，包括Checker，存放在受害者机器的音乐、图片或文档用户文件夹中。

变种比较

BabyLockerKZ变种与其他MedusaLocker版本高度相似，使用相同的聊天和泄漏网站，但在以下方面有所不同：

• 使用BabyLockerKZ运行键
• PAIDMEMES公共和私钥
• 缺乏“MDSLK”注册表项
• 缺乏{8761ABBD-7F85-42EE-B272-A76179687C63}互斥体

据思科Talos的遥测数据显示，该威胁行为者似乎是机会主义性地针对组织，通常每月影响全球超过100个受害者。研究人员表示，该威胁行为者的活动类似于财务动机攻击者的行为，如初始访问经纪人或勒索软件联盟。

有关BabyLockerKZ和paid_memes的战术、技术与程序（TTPs）以及妥协指标（IoC）的完整列表，请参见思科Talos的博客文章。