MKD-CIRT National Centre for Computer Incident Response
Ransomware нападот, познат како Medusa, почна да добива сила во 2023 година, таргетирајќи ги корпоративните жртви ширум светот со барања за откуп од милион долари.
Medusa нападот започна во јуни 2021 година, но имаше релативно слаба активност, со малку жртви. Меѓутоа, во 2023 година, ја зголеми активноста и започна „Medusa Блог“ што се користи за протекување податоци на жртвите кои одбиле да платат откуп.
Medusa го привлече вниманието на медиумите оваа недела откако ја презедоа одговорноста за нападот на Minneapolis Public Schools (MPS) и споделија видео од украдените податоци.
Многу малвер варијанти себси се нарекуваат Medusa, вклучително и Mirai ботнет базиран на можности за откуп, Medusa Android малвер и широко познатиот MedusaLocker ransomware напад.
Поради најчесто користеното име, има некои збунувачки извештаи за оваа ransomware варијанта, при што многумина мислат дека тоа е исто како MedusaLocker.
Сепак, Medusa и MedusaLocker ransomware нападите се сосема различни.
MedusaLocker нападот започна во 2019 година како Ransomware-as-a-Service, со бројни можности, белешка за откуп наречена How_to_back_files.html и широк спектар на екстензии на датотеки за шифрирани датотеки.
MedusaLocker нападот користи веб-страница на Tor на qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion за преговори.
Сепак, Medusa ransomware нападот започна околу јуни 2021 година и користеше белешка за откуп со име !!!READ_ME_MEDUSA!!!.txt и статичко шифрирана екстензија на датотека од .MEDUSA.
BleepingComputer успеа само да го анализира Medusa енкрипторот за Windows, а засега не е познато дали имаат таков за Linux.
Шифрирањето на Windows ќе прифати опции од командната линија што му овозможуваат на напаѓачот да конфигурира како датотеките ќе се шифрираат на уредот.
На пример, аргументот на командната линија -v ќе предизвика ransomware да прикаже конзола, прикажувајќи ги статусните пораки додека шифрира уред.
Во редовно извршување, без аргументи на командната линија, Medusa ransomware ќе прекине преку 280 услуги и Windows процеси за програми што може да спречат шифрирање на датотеките. Тие вклучуваат Windows услуги за сервери за пошта, сервери за бази на податоци, резервни сервери и безбедносен софтвер.
Ransomware потоа ќе ги избрише Windows Shadow Volume Copies за да спречи нивно користење за враќање на датотеките.
Ransomware експертот Michael Gillespie, исто така, го анализираше шифрирањето и му посочи на BleepingComputer дека ги шифрира датотеките користејќи AES-256 + RSA-2048 шифрирање со помош на BCrypt библиотеката.
Gillespie дополнително потврди дека методот на шифрирање што се користи во Medusa е различен од оној што се користи во MedusaLocker.
Кога шифрирате датотеки, ransomware ќе ја додаде .MEDUSA екстензијата на шифрирани имиња на датотеки. На пример, 1.doc би бил шифриран и преименуван во 1.doc.MEDUSA.
Во секоја папка, ransomware ќе создаде белешка за откуп со име !!!READ_ME_MEDUSA!!!.txt која содржи информации за тоа што се случило со датотеките на жртвата.
Белешката за откуп исто така ќе вклучува информации за контакт на екстензијата, вклучително и страница за протекување податоци на Tor, канал на Telegram, Tox ID и key.medusa.serviceteam@protonmail.com адресата за е-пошта.
Сајтот за преговори Tor е на http://medusacegu2ufmc3kx2kkqicrlcxdettsjcenhjena6uannk5f4ffuyd.onion.
Како дополнителен чекор за да се спречи враќањето на датотеките од резервните копии, Medusa ransomware ќе ја изврши следната команда за да ги избрише локално складираните датотеки поврзани со програмите за резервна копија, како што е резервната копија на Windows. Оваа команда ќе ги избрише и хард дисковите за виртуелен диск (VHD) што ги користат виртуелните машини.
Сајтот за преговори Tor себеси се нарекува „Secure Chat“, каде што секоја жртва има единствена идентификација што може да се користи за комуникација со ransomware напаѓачите.
Како и повеќето ransomware напади, Medusa има сајт за протекување податоци наречен „Medusa Блог“, каде што напаѓачите објавуваат податоци за жртвите кои одбиваат да платат откуп.
Кога жртвата е додадена на протекувањето на податоците, нивните податоци не се објавуваат веднаш. Наместо тоа, напаѓачите им даваат на жртвите платени опции да го продолжат одбројувањето пред да бидат објавени податоците, да ги избришат податоците или да ги преземат сите податоци. Секоја од овие опции има различни цени.
Овие три опции се направени за да се изврши дополнителен притисок врз жртвата да се исплаши за да плати откуп.
За жал, ниту една позната слабост во шифрирањето на Medusa Ransomware не им дозволува на жртвите бесплатно да ги повратат своите датотеки.
Истражувачите ќе продолжат да го анализираат енкрипторот и доколку се открие слабост, ќе биде пријавен на BleepingComputer.
Извор: BleepingComputer
