medusalocker

Perfil del Actor

MedusaLocker es un bot de distribución de ataques distribuidos (DDoS) desarrollado en .NET 2.0. Su protocolo de comunicación con el comando y control (C&C) actual utiliza HTTP, mientras que su versión anterior dependía del IRC.

Origen y Motivación

No se disponen datos concretos sobre el origen o las motivaciones detrás de la actividad de MedusaLocker. No hay información pública que indique su conexión con grupos específicos o objetivos geopolíticos.

Técnicas y Tacticas (TTPs)

MedusaLocker utiliza una arquitectura basada en botnets para generar ataques DDoS. Su protocolo de C&C actual es HTTP, lo que sugiere una adaptación a métodos más modernos de comunicación. La dependencia del IRC en versiones anteriores indica un enfoque tradicional para la coordinación de actividades maliciosas.

Campanias Conocidas

No se reportan detalles específicos sobre campañas asociadas a MedusaLocker. La información disponible no incluye nombres o descripciones de operaciones particulares.

Objetivos y Victimas

MedusaLocker ha sido identificado como responsable de ataques DDoS contra 51 victimas. Los C2 (comando y control) se encuentran en direcciones IP y dominios anonimizados, incluyendo:

Indicadores de Compromiso (IOCs)

Detección y Defensa

Para mitigar el impacto de MedusaLocker, se recomienda monitorear tráfico HTTP sospechoso, analizar binarios .NET 2.0 para signaturas maliciosas y utilizar feeds de inteligencia de amenazas (TTPs) para detectar patrones de comunicación con C2. Las organizaciones deben implementar mecanismos de detección proactivo frente a dominios Tor en la red.