Εμφανίστηκε μια νέα έκδοση του botnet Medusa DDoS (distributed denial of service), βασισμένη στον κώδικα Mirai, που διαθέτει ένα ransomware module και ένα Telnet brute-forcer.
See also: GoAnywhere MFT zero-day: Fortra released a patch
Το Medusa είναι ένα παλιό είδος malware (δεν πρέπει να συγχέεται με το Android trojan) που διαφημίζεται στις αγορές του darknet από το 2015, το οποίο αργότερα πρόσθεσε δυνατότητες DDoS που βασίζονται σε HTTP το 2017.
Η Cyble μοιράστηκε με το BleepingComputer ότι έχει εντοπίσει μια νέα παραλλαγή ενός καθιερωμένου στελέχους κακόβουλου λογισμικού. Η πιο πρόσφατη έκδοση βασίζεται στον πηγαίο κώδικα του Mirai botnet που διέρρευσε, κληρονομώντας τις δυνατότητες στόχευσης Linux και εκτεταμένες επιλογές επίθεσης DDoS.
Προχωρώντας ένα βήμα παραπέρα, η Medusa έχει πλέον αναδειχθεί ως μια πλατφόρμα MaaS (malware-as-a-service) που παρέχει λύσεις DDoS ή εξόρυξης μέσω της δικής της πύλης. Στα αξιοσημείωτα χαρακτηριστικά της υπηρεσίας περιλαμβάνονται η ενισχυμένη σταθερότητα, η απόλυτη anonymity για τους χρήστες, η χρήσιμη technical support όποτε χρειάζεται, το φιλικό προς το χρήστη API και η ρυθμιζόμενη τιμολόγηση ανάλογα με τις απαιτήσεις του πελάτη.
See also: Clop ransomware for Linux: Flaw allows file recovery
Λειτουργικότητα Ransomware
Σε αυτή τη νέα παραλλαγή του Medusa, υπάρχει μια ενδιαφέρουσα λειτουργία ransomware που του επιτρέπει να εξερευνά όλα τα directories για βιώσιμους τύπους αρχείων προς κρυπτογράφηση. Σε γενικές γραμμές, αυτά τα στοχευμένα αρχεία περιλαμβάνουν έγγραφα και αρχεία διανυσματικού σχεδιασμού.
Τα έγκυρα αρχεία κρυπτογραφούνται χρησιμοποιώντας κρυπτογράφηση AES 256-bit και η επέκταση .medusastealer προσαρτάται στο όνομα των κρυπτογραφημένων αρχείων.
Ωστόσο, η μέθοδος κρυπτογράφησης φαίνεται σπασμένη, μετατρέποντας το ransomware σε data wiper.
Μετά την κρυπτογράφηση των αρχείων σε μια συσκευή, το κακόβουλο λογισμικό παραμένει αδρανές για 24 ώρες προτού διαγράψει όλα τα αποθηκευμένα έγγραφα στους drives του συστήματος.
Μετά τη διαγραφή βασικών αρχείων, θα εμφανιστεί ένα σημείωμα λύτρων που απαιτεί 0,5 BTC ($11.400) ως πληρωμή – μια παράλογη απαίτηση για κάθε επιτυχημένη απόπειρα εκβιασμού.
Η Cyble πιστεύει ότι πρόκειται για σφάλμα κωδικοποίησης, επειδή καταστρέφει τους drives του συστήματος, καθιστώντας αδύνατο για τα θύματα να χρησιμοποιήσουν τα συστήματά τους ή να διαβάσουν το σημείωμα των λύτρων. Αυτό το σφάλμα υποδηλώνει επίσης ότι η νέα παραλλαγή Medusa, ή τουλάχιστον αυτό το χαρακτηριστικό, βρίσκεται ακόμη under development.
Αξίζει να σημειωθεί ότι ενώ η νέα έκδοση της Medusa διαθέτει ένα εργαλείο εξαγωγής δεδομένων, δεν κλέβει αρχεία χρήστη πριν από την encryption. Αντίθετα, εστιάζει στη συλλογή βασικών πληροφοριών συστήματος που βοηθούν στον εντοπισμό των θυμάτων και στην εκτίμηση των πόρων που μπορούν να χρησιμοποιηθούν για εξόρυξη και επιθέσεις DDoS.
Telnet επιθέσεις
Επιπλέον, το Medusa διαθέτει μια λειτουργία brute-forcing, η οποία επιχειρεί να αποκτήσει πρόσβαση σε συσκευές συνδεδεμένες στο διαδίκτυο με συχνά χρησιμοποιούμενα ονόματα χρήστη and passwords. Εάν επιτύχει, τότε θα κατεβάσει ένα πρόσθετο ωφέλιμο φορτίο που η Cyble δεν έχει καταφέρει να ανακτήσει ή να αναλύσει ακόμα.
See also: Researcher hacked Toyota's GSPIMS application
Στη συνέχεια, το Medusa εκτελεί την εντολή “zmap” για να ανακαλύψει άλλες συσκευές με υπηρεσίες Telnet που εκτελούνται στη θύρα 23. Στη συνέχεια, επιχειρεί να συνδεθεί σε αυτές χρησιμοποιώντας τις IP addresses που λαμβάνει σε συνδυασμό με μια σειρά από ονόματα χρήστη και κωδικούς πρόσβασης.
Τέλος, κατά τη δημιουργία μιας σύνδεσης Telnet, το malware μολύνει το σύστημα με το κύριο ωφέλιμο φορτίο Medusa (“infection_medusa_stealer”).
Το τελικό ωφέλιμο φορτίο της Medusa έχει επίσης ελλιπή υποστήριξη για τη λήψη των εντολών “FivemBackdoor” και “sshlogin”.
Επιπλέον, ο κώδικας που σχετίζεται με αυτό το πρόγραμμα απουσιάζει αισθητά από το αρχείο Python του client – άλλη μια ένδειξη ότι αυτό το πρόγραμμα βρίσκεται ακόμα σε εξέλιξη.
Source of information: bleepingcomputer.com
, βασισμένη στον κώδικα Mirai, που διαθέτει ένα ransomware...){kind=link}