Uma nova versão do botnet Medusa DDoS (negação de serviço distribuída), baseada no código Mirai, apareceu à solta, apresentando um módulo ransomware e um força bruta Telnet.
Medusa é uma variedade de malware antigo (não confundir com o trojan Android de mesmo nome) sendo anunciado nos mercados da darknet desde 2015, que mais tarde adicionou recursos DDoS baseados em HTTP em 2017.
Cyble disse ao BleepingComputer que esta nova variante que eles detectaram na natureza é a continuação daquela antiga cepa de malware. Sua versão mais recente é baseada no código-fonte vazado do botnet Mirai, herdando seus recursos de segmentação do Linux e extensas opções de ataque DDoS.
Além disso, a Medusa agora é promovida como um MaaS (malware como serviço) para DDoS ou mineração por meio de um portal dedicado. Ele promete estabilidade de serviço, anonimato do cliente, suporte, uma API fácil de usar e custo ajustável com base em necessidades específicas.
Função de Ransomware
O que é particularmente interessante nesta nova variante da Medusa é uma função de ransomware que permite pesquisar todos os diretórios em busca de tipos de arquivo válidos para criptografia. A lista de tipos de arquivos de destino inclui principalmente documentos e arquivos de desenho vetorial.
Os arquivos válidos são criptografados usando criptografia AES de 256 bits e a extensão .medusastealer é anexada ao nome dos arquivos criptografados.
No entanto, o método de criptografia parece quebrado, transformando o ransomware em um limpador de dados.
Depois de criptografar os arquivos no dispositivo, o malware hiberna por 86.400 segundos (24 horas) e exclui todos os arquivos das unidades do sistema.
Somente após a exclusão dos arquivos, ele exibe uma nota de resgate que solicita o pagamento de 0,5 BTC (US$ 11.400), o que é contra-intuitivo para uma tentativa de extorsão bem-sucedida.
A Cyble acredita que se trata de um erro no código, pois a destruição das unidades do sistema impossibilita que as vítimas usem seus sistemas e leiam a nota de resgate. Esse bug também indica que a nova variante da Medusa, ou pelo menos esse recurso, ainda está em desenvolvimento.
Vale a pena notar que, embora a nova versão do Medusa apresente uma ferramenta de exfiltração de dados, ela não rouba os arquivos do usuário antes da criptografia. Em vez disso, ele se concentra na coleta de informações básicas do sistema que ajudam a identificar vítimas e estimar recursos que podem ser usados para mineração e ataques DDoS.
Ataques Telnet
A Medusa também possui uma força bruta que testa nomes de usuários e senhas comumente usados em dispositivos conectados à Internet. Então, se bem-sucedido, ele tenta baixar uma carga útil adicional que o Cyble não conseguiu recuperar e analisar.
Em seguida, a Medusa executa o comando “zmap” para encontrar outros dispositivos com serviços Telnet em execução na porta 23 e tenta se conectar a eles usando os endereços IP recuperados e uma combinação de nomes de usuário e senhas.
Por fim, ao estabelecer uma conexão Telnet, o malware infecta o sistema com a carga útil primária da Medusa (“infection_medusa_stealer”).
A carga útil final da Medusa também tem suporte incompleto para receber os comandos “FivemBackdoor” e “sshlogin”.
No entanto, o código correspondente ainda não está presente no arquivo Python do cliente, o que é outro sinal de seu desenvolvimento contínuo.
Fonte: Bleeping Computer
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.