Uma operação de ransomware conhecida como Medusa começou a ganhar força em 2023, visando vítimas corporativas em todo o mundo com exigências de resgate de milhões de dólares.
A operação Medusa começou em junho de 2021, mas teve atividade relativamente baixa, com poucas vítimas.
No entanto, em 2023, a gangue de ransomware aumentou sua atividade e lançou um 'Blog Medusa' usado para vazar dados de vítimas que se recusaram a pagar o resgate.
Medusa ganhou atenção da mídia esta semana depois de reivindicar a responsabilidade por um ataque ao distrito das escolas públicas de Minneapolis (MPS) e compartilhar um vídeo dos dados roubados.
Muitas famílias de malware se autodenominam Medusa, incluindo um botnet baseado em Mirai com capacidades de ransomware, um malware Android Medusa e a amplamente conhecida operação de ransomware MedusaLocker.
Devido ao nome comumente usado, tem havido relatórios confusos sobre essa família de ransomware, com muitos pensando que é o mesmo que o MedusaLocker.
No entanto, as operações de ransomware Medusa e MedusaLocker são completamente diferentes.
A operação MedusaLocker foi lançada em 2019 como um Ransomware-as-a-Service, com vários afiliados, uma nota de resgate comumente nomeada How_to_back_files.html e uma ampla variedade de extensões de arquivo para arquivos criptografados.
No entanto, a operação de ransomware Medusa foi lançada por volta de junho de 2021 e vem usando uma nota de resgate chamada !!!READ_ME_MEDUSA!!!.txt e uma extensão de arquivo criptografado estática de .MEDUSA.
O BleepingComputer só foi capaz de analisar o criptografador Medusa para Windows, e não se sabe se eles têm um para Linux neste momento.
O criptografador do Windows aceitará opções de linha de comando que permitem que o ator da ameaça configure como os arquivos serão criptografados no dispositivo.
Em uma execução regular, sem argumentos de linha de comando, o ransomware Medusa encerrará mais de 280 serviços e processos do Windows para programas que podem impedir que os arquivos sejam criptografados.
O ransomware também excluirá as Cópias de Volume de Sombra do Windows para impedir que elas sejam usadas para recuperar arquivos.
O especialista em ransomware Michael Gillespie também analisou o criptografador e disse ao BleepingComputer que ele criptografa arquivos usando a criptografia AES-256 + RSA-2048 usando a biblioteca BCrypt.
Gillespie confirmou ainda que o método de criptografia usado em Medusa é diferente do usado em MedusaLocker.
Ao criptografar arquivos, o ransomware anexará a extensão .MEDUSA aos nomes dos arquivos criptografados.
Em cada pasta, o ransomware criará uma nota de resgate chamada !!!READ_ME_MEDUSA!!!.txt que contém informações sobre o que aconteceu com os arquivos da vítima.
A nota de resgate também incluirá informações de contato de extensão, incluindo um site de vazamento de dados Tor, um site de negociação Tor, um canal Telegram, um ID Tox e o endereço de e-mail.
Como uma etapa extra para impedir a restauração de arquivos a partir de backups, o ransomware Medusa executará o seguinte comando para excluir arquivos armazenados localmente associados a programas de backup, como o Backup do Windows.
Este comando também excluirá discos rígidos de disco virtual (VHD) usados por máquinas virtuais.
O site de negociação Tor se chama "Secure Chat", onde cada vítima tem um ID exclusivo que pode ser usado para se comunicar com a gangue de ransomware.
Como a maioria das operações de ransomware direcionadas a empresas, a Medusa tem um site de vazamento de dados chamado 'Medusa Blog'.
Este site é usado como parte da estratégia de extorsão dupla da gangue, onde eles vazam dados para vítimas que se recusam a pagar um resgate.
Quando uma vítima é adicionada ao vazamento de dados, seus dados não são publicados imediatamente.
Em vez disso, os atores da ameaça dão às vítimas opções pagas para estender a contagem regressiva antes que os dados sejam liberados, para excluir os dados ou para baixar todos os dados.
Cada uma dessas opções tem preços diferentes.
Infelizmente, não há fraquezas conhecidas na criptografia do ransomware Medusa que permitam que as vítimas recuperem seus arquivos gratuitamente.
Publicidade
A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo.
Saiba mais...