Από τότε που ξεκίνησε το 2023, μια ransomware επιχείρηση με το όνομα Medusa άρχισε να εξαπλώνεται ταχύτατα σε όλο τον κόσμο, στοχεύοντας εταιρείες και ζητώντας λύτρα εκατομμυρίων δολαρίων.
Η επιχείρηση Medusa ξεκίνησε τον Ιούνιο του 2021 αλλά εκείνη την εποχή η δραστηριότητά της ήταν περιορισμένη. Τώρα, δύο περίπου χρόνια μετά, η συμμορία ransomware έχει αυξήσει τις δραστηριότητές της, ενώ έχει και ένα site στο οποίο δημοσιεύει τα δεδομένα θυμάτων που αρνούνται να πληρώσουν λύτρα.
Τις τελευταίες ημέρες, η ransomware επιχείρηση Medusa βρέθηκε στο επίκεντρο των συζητήσεων, αφού ανέλαβε την ευθύνη για μια επίθεση στη σχολική περιφέρεια Minneapolis Public Schools (MPS) και μοιράστηκε ένα βίντεο με τα κλεμμένα δεδομένα.
Medusa
Αξίζει να σημειωθεί ότι πολλές οικογένειες malware χρησιμοποιούν το όνομα Medusa. Για παράδειγμα, υπάρχει ένα botnet που βασίζεται στο Mirai και περιλαμβάνει δυνατότητες ransomware, ένα Medusa Android malware και η ευρέως γνωστή λειτουργία ransomware MedusaLocker.
Δείτε επίσης: Η Cerebral μοιράστηκε δεδομένα ασθενών με Meta, Google, TikTok
Λόγω του κοινώς χρησιμοποιούμενου ονόματος, υπάρχει μια σύγχυση σχετικά με αυτήν την οικογένεια ransomware και τις πρόσφατες επιθέσεις. Πολλοί πιστεύουν ότι είναι το ίδιο με το MedusaLocker. Ωστόσο, οι λειτουργίες ransomware Medusa και MedusaLocker είναι διαφορετικές.
Η επιχείρηση MedusaLocker ξεκίνησε το 2019 ως Ransomware-as-a-Service, με πολλούς affiliates. Άφηνε στις συσκευές των θυμάτων ένα σημείωμα λύτρων που συνήθως ονομαζόταν How_to_back_files.html και προσέθετε μια ποικιλία επεκτάσεων στα κρυπτογραφημένα αρχεία. Επίσης, η λειτουργία MedusaLocker χρησιμοποιεί έναν ιστότοπο Tor στη διεύθυνση qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion για διαπραγμάτευση.
Από την άλλη μεριά, η επιχείρηση ransomware Medusa για την οποία μιλάμε τώρα, ξεκίνησε γύρω στον Ιούνιο του 2021 και χρησιμοποιούσε ένα σημείωμα λύτρων με το όνομα !!!READ_ME_MEDUSA!!!.txt. Επίσης, υπήρχε πάντα η επέκταση αρχείου .MEDUSA στα κρυπτογραφημένα αρχεία.
Η επιχείρηση Medusa χρησιμοποιεί επίσης έναν ιστότοπο Tor για διαπραγματεύσεις για λύτρα, ωστόσο ο δικός τους βρίσκεται στη διεύθυνση medusacegu2ufmc3kx2kkqicrlcxdettsjcenhjena6uannk5f4ffuyd.onion.
Medusa ransomware: Πώς κρυπτογραφεί συσκευές Windows;
Το BleepingComputer αναφέρει ότι μπόρεσε να αναλύσει μόνο τον encryptor Medusa για Windows. Προς το παρόν, δεν είναι γνωστό αν υπάρχει και Linux έκδοση.
Σύμφωνα με το BleepingComputer, το Windows encryptor δέχεται command-line options που επιτρέπουν στους χειριστές του ransomware να διαμορφώσουν τον τρόπο με τον οποίο θα κρυπτογραφούνται τα αρχεία στη συσκευή-στόχο:
# Command Line
Option | Description
---------------------
-V | Get version
-d | Do not delete self
-f | Exclude system folder
-i | In path
-k | Key file path
-n | Use network
-p | Do not preprocess (preprocess = kill services and shadow copies)
-s | Exclude system drive
-t | Note file path
-v | Show console window
-w | Initial run powershell path (powershell -executionpolicy bypass -File %s)
Σε μια κανονική εκτέλεση, χωρίς command line arguments, το ransomware Medusa θα τερματίσει περισσότερες από 280 υπηρεσίες και διαδικασίες Windows προκειμένου να μειώσει τις πιθανότητες να λειτουργεί κάποιο πρόγραμμα που θα μπορούσε να εμποδίσει την κρυπτογράφηση αρχείων. Για παράδειγμα, απενεργοποιούνται backup servers και λογισμικά ασφαλείας.
Δείτε επίσης: Microsoft: Επιθέσεις BEC μπορούν να πραγματοποιηθούν σε μία μόλις ώρα
Επιπλέον, το ransomware θα διαγράψει τα Windows Shadow Volume Copies ώστε να μην μπορεί να γίνει χρήση τους για ανάκτηση αρχείων.
Ο ειδικός σε ransomware, Michael Gillespie, ανέλυσε επίσης τον encryptor του Medusa ransomware και είπε στο BleepingComputer ότι κρυπτογραφεί αρχεία χρησιμοποιώντας κρυπτογράφηση AES-256 + RSA-2048 χρησιμοποιώντας το BCrypt library. Ο Gillespie επιβεβαίωσε ότι η μέθοδος κρυπτογράφησης που χρησιμοποιείται στo Medusa είναι διαφορετική από αυτή που χρησιμοποιείται στο MedusaLocker (άλλη μια διαφορά).
Όπως είπαμε και παραπάνω, κατά την κρυπτογράφηση αρχείων, το ransomware προσθέτει την επέκταση .MEDUSA στο όνομα του αρχείου.
Ένα σημείωμα λύτρων θα δημιουργηθεί σε φάκελο. Το σημείωμα έχει το όνομα !!!READ_ME_MEDUSA!!!.txt και περιέχει πληροφορίες σχετικά με το τι συνέβη στα αρχεία του θύματος. Εκεί, υπάρχουν επίσης στοιχεία επικοινωνίας, συμπεριλαμβανομένου ενός ιστότοπου διαρροής δεδομένων Tor, ενός ιστότοπου διαπραγμάτευσης Tor, ενός καναλιού Telegram, ενός Tox ID και της διεύθυνσης ηλεκτρονικού ταχυδρομείου key.medusa.serviceteam@protonmail.com.
Ο ιστότοπος διαπραγμάτευσης Tor βρίσκεται στη διεύθυνση http://medusacegu2ufmc3kx2kkqicrlcxdettsjcenhjena6uannk5f4ffuyd.onion.
Αξίζει να σημειωθεί ότι χρησιμοποιείται και μια άλλη μέθοδος για την αποτροπή της επαναφοράς αρχείων από αντίγραφα ασφαλείας. Το ransomware Medusa θα εκτελέσει μια εντολή για να διαγράψει τοπικά αποθηκευμένα αρχεία που σχετίζονται με προγράμματα δημιουργίας αντιγράφων ασφαλείας, όπως το Windows Backup. Αυτή η εντολή διαγράφει επίσης virtual disk hard drives (VHD) που χρησιμοποιούνται από virtual machines.
Ο ιστότοπος διαπραγμάτευσης Tor αυτοαποκαλείται “Secure Chat“, όπου κάθε θύμα έχει ένα μοναδικό ID που μπορεί να χρησιμοποιηθεί για την επικοινωνία με τη συμμορία ransomware.
Και φυσικά, υπάρχει και ένα site για τη διαρροή δεδομένων θυμάτων που δεν πληρώνουν τα λύτρα. Αυτό ονομάζεται “Medusa Blog“. Οι περισσότερες συμμορίες ransomware διαθέτουν ένα τέτοιο site.
Δείτε επίσης: Η AT&T ειδοποιεί 9 εκατομμύρια πελάτες για παραβίαση δεδομένων
Δυστυχώς, δεν υπάρχει καμιά γνωστή αδυναμία στην κρυπτογράφηση του Medusa Ransomware που θα μπορούσε να επιτρέψει στα θύματα να ανακτούν τα αρχεία τους δωρεάν.
Το Ransomware είναι μια από τις σοβαρότερες απειλές που αντιμετωπίζουν επιχειρήσεις και ιδιώτες σήμερα, καθώς οι εγκληματίες του κυβερνοχώρου γίνονται όλο και πιο εξελιγμένοι στις τακτικές τους για να κλειδώνουν συστήματα και να αποσπούν πληρωμές από τα θύματα. Ωστόσο, λαμβάνοντας προληπτικά μέτρα, όπως η εκτέλεση λογισμικού προστασίας από ιούς με ενεργοποιημένη προστασία σε πραγματικό χρόνο, καθώς και η τακτική δημιουργία αντιγράφων ασφαλείας σημαντικών αρχείων σε εξωτερικό σκληρό δίσκο ή σε υπηρεσία αποθήκευσης στο cloud, αυξάνετε κάπως την προστασία σας έναντι αυτών των επικίνδυνων διαδικτυακών απειλών.
Πηγή: www.bleepingcomputer.com