ΑρχικήsecurityΤο Medusa botnet επιστρέφει ως παραλλαγή που βασίζεται στο Mirai

Το Medusa botnet επιστρέφει ως παραλλαγή που βασίζεται στο Mirai

Εμφανίστηκε μια νέα έκδοση του botnet Medusa DDoS (distributed denial of service), βασισμένη στον κώδικα Mirai, που διαθέτει ένα ransomware module και ένα Telnet brute-forcer.

Το Medusa botnet επιστρέφει ως παραλλαγή που βασίζεται στο Mirai

Δείτε επίσης: GoAnywhere MFT zero-day: Η Fortra κυκλοφόρησε patch

Το Medusa είναι ένα παλιό είδος malware (δεν πρέπει να συγχέεται με το Android trojan) που διαφημίζεται στις αγορές του darknet από το 2015, το οποίο αργότερα πρόσθεσε δυνατότητες DDoS που βασίζονται σε HTTP το 2017.

Η Cyble μοιράστηκε με το BleepingComputer ότι έχει εντοπίσει μια νέα παραλλαγή ενός καθιερωμένου στελέχους κακόβουλου λογισμικού. Η πιο πρόσφατη έκδοση βασίζεται στον πηγαίο κώδικα του Mirai botnet που διέρρευσε, κληρονομώντας τις δυνατότητες στόχευσης Linux και εκτεταμένες επιλογές επίθεσης DDoS.

Προχωρώντας ένα βήμα παραπέρα, η Medusa έχει πλέον αναδειχθεί ως μια πλατφόρμα MaaS (malware-as-a-service) που παρέχει λύσεις DDoS ή εξόρυξης μέσω της δικής της πύλης. Στα αξιοσημείωτα χαρακτηριστικά της υπηρεσίας περιλαμβάνονται η ενισχυμένη σταθερότητα, η απόλυτη ανωνυμία για τους χρήστες, η χρήσιμη τεχνική υποστήριξη όποτε χρειάζεται, το φιλικό προς το χρήστη API και η ρυθμιζόμενη τιμολόγηση ανάλογα με τις απαιτήσεις του πελάτη.

Δείτε επίσης: Clop ransomware για Linux: Flaw επιτρέπει την ανάκτηση αρχείων

Το Medusa botnet επιστρέφει ως παραλλαγή που βασίζεται στο Mirai

Λειτουργικότητα Ransomware

Σε αυτή τη νέα παραλλαγή του Medusa, υπάρχει μια ενδιαφέρουσα λειτουργία ransomware που του επιτρέπει να εξερευνά όλα τα directories για βιώσιμους τύπους αρχείων προς κρυπτογράφηση. Σε γενικές γραμμές, αυτά τα στοχευμένα αρχεία περιλαμβάνουν έγγραφα και αρχεία διανυσματικού σχεδιασμού.

Τα έγκυρα αρχεία κρυπτογραφούνται χρησιμοποιώντας κρυπτογράφηση AES 256-bit και η επέκταση .medusastealer προσαρτάται στο όνομα των κρυπτογραφημένων αρχείων.

Medusa Mirai

Ωστόσο, η μέθοδος κρυπτογράφησης φαίνεται σπασμένη, μετατρέποντας το ransomware σε data wiper.

Μετά την κρυπτογράφηση των αρχείων σε μια συσκευή, το κακόβουλο λογισμικό παραμένει αδρανές για 24 ώρες προτού διαγράψει όλα τα αποθηκευμένα έγγραφα στους drives του συστήματος.

Μετά τη διαγραφή βασικών αρχείων, θα εμφανιστεί ένα σημείωμα λύτρων που απαιτεί 0,5 BTC ($11.400) ως πληρωμή – μια παράλογη απαίτηση για κάθε επιτυχημένη απόπειρα εκβιασμού.

Η Cyble πιστεύει ότι πρόκειται για σφάλμα κωδικοποίησης, επειδή καταστρέφει τους drives του συστήματος, καθιστώντας αδύνατο για τα θύματα να χρησιμοποιήσουν τα συστήματά τους ή να διαβάσουν το σημείωμα των λύτρων. Αυτό το σφάλμα υποδηλώνει επίσης ότι η νέα παραλλαγή Medusa, ή τουλάχιστον αυτό το χαρακτηριστικό, βρίσκεται ακόμη υπό ανάπτυξη.

Αξίζει να σημειωθεί ότι ενώ η νέα έκδοση της Medusa διαθέτει ένα εργαλείο εξαγωγής δεδομένων, δεν κλέβει αρχεία χρήστη πριν από την κρυπτογράφηση. Αντίθετα, εστιάζει στη συλλογή βασικών πληροφοριών συστήματος που βοηθούν στον εντοπισμό των θυμάτων και στην εκτίμηση των πόρων που μπορούν να χρησιμοποιηθούν για εξόρυξη και επιθέσεις DDoS.

Telnet επιθέσεις

Επιπλέον, το Medusa διαθέτει μια λειτουργία brute-forcing, η οποία επιχειρεί να αποκτήσει πρόσβαση σε συσκευές συνδεδεμένες στο διαδίκτυο με συχνά χρησιμοποιούμενα ονόματα χρήστη και κωδικούς πρόσβασης. Εάν επιτύχει, τότε θα κατεβάσει ένα πρόσθετο ωφέλιμο φορτίο που η Cyble δεν έχει καταφέρει να ανακτήσει ή να αναλύσει ακόμα.

Δείτε επίσης: Ερευνητής παραβίασε την εφαρμογή GSPIMS της Toyota

Στη συνέχεια, το Medusa εκτελεί την εντολή “zmap” για να ανακαλύψει άλλες συσκευές με υπηρεσίες Telnet που εκτελούνται στη θύρα 23. Στη συνέχεια, επιχειρεί να συνδεθεί σε αυτές χρησιμοποιώντας τις διευθύνσεις IP που λαμβάνει σε συνδυασμό με μια σειρά από ονόματα χρήστη και κωδικούς πρόσβασης.

Τέλος, κατά τη δημιουργία μιας σύνδεσης Telnet, το malware μολύνει το σύστημα με το κύριο ωφέλιμο φορτίο Medusa (“infection_medusa_stealer”).

Medusa Mirai

Το τελικό ωφέλιμο φορτίο της Medusa έχει επίσης ελλιπή υποστήριξη για τη λήψη των εντολών “FivemBackdoor” και “sshlogin”.

Επιπλέον, ο κώδικας που σχετίζεται με αυτό το πρόγραμμα απουσιάζει αισθητά από το αρχείο Python του client – άλλη μια ένδειξη ότι αυτό το πρόγραμμα βρίσκεται ακόμα σε εξέλιξη.

Πηγή πληροφοριών: bleepingcomputer.com

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS