Según un análisis de Cisco Talos, se ha observado que un actor de amenazas con motivación financiera ataca a organizaciones de todo el mundo con una variante del ransomware MedusaLocker. La variante, conocida como “BabyLockerKZ”, existe desde al menos finales de 2023, y esta es la primera vez que se la menciona específicamente como una variante de MedusaLocker. Esta variante utiliza las mismas URL de sitios de chat y filtraciones que el ransomware MedusaLocker original. Sin embargo, utiliza una clave de ejecución automática diferente o un conjunto de claves públicas y privadas adicionales almacenadas en el registro. Características del actor de amenazas El atacante ha estado activo desde al menos 2022, centrándose inicialmente en objetivos en países europeos como Francia, Alemania, España e Italia. Desde el segundo trimestre de 2023, ha desplazado su enfoque hacia países sudamericanos como Brasil, México, Argentina y Colombia, lo que ha resultado en que el volumen de víctimas por mes casi se duplique. Los ataques mantuvieron un volumen constante de alrededor de 200 IP únicas comprometidas por mes hasta el primer trimestre de 2024, cuando los ataques disminuyeron. Se cree que el actor de amenazas trabaja como intermediario de acceso inicial o como afiliado de un cártel de ransomware. Cisco evaluó con confianza media que tiene motivación financiera. Tácticas, técnicas y procedimientos Cisco Talos dijo que el grupo utiliza varias herramientas de ataque conocidas públicamente y binarios externos para permitir el robo de credenciales y el movimiento lateral en organizaciones comprometidas. Estas herramientas son en su mayoría envoltorios de herramientas disponibles públicamente que incluyen funcionalidad adicional para agilizar el proceso de ataque y proporcionar interfaces gráficas o de línea de comandos. Entre las herramientas públicamente conocidas utilizadas por el atacante se encuentran HRSword_v5.0.1.1.rar, utilizada para desactivar el software AV y EDR, y Advanced_Port_Scanner_2.5.3869.exe, una herramienta de escaneo de red con varias características adicionales para mapear redes y dispositivos internos. Además, el actor de la amenaza utiliza algunas herramientas que no están ampliamente distribuidas que agilizan el proceso de ataque al automatizar la interacción entre herramientas de ataque populares. Una de estas herramientas, llamada «Checker», es una aplicación que agrupa varias otras aplicaciones disponibles gratuitamente y proporciona una GUI para la gestión de credenciales a medida que los atacantes realizan movimientos laterales. Estas herramientas contienen una ruta PDB que incluye la palabra «paid_memes», que se compila con BabyLockerKZ. Los atacantes utilizaban con frecuencia las carpetas de usuario Música, Imágenes o Documentos de los sistemas comprometidos para almacenar herramientas de ataque.