Medusa adalah jenis malware lama (jangan bingung dengan trojan Android dengan nama yang sama) yang diiklankan di pasar darknet sejak 2015, yang kemudian menambahkan kemampuan DDoS berbasis HTTP pada 2017.
Dikutip dari Bleeping Computer, Cyble telah memberi tahu BleepingComputer bahwa varian baru yang mereka temukan di alam liar ini adalah kelanjutan dari jenis malware lama itu. Versi terbarunya didasarkan pada kode sumber botnet Mirai yang bocor, mewarisi kemampuan penargetan Linux dan opsi serangan DDoS yang ekstensif.
Selain itu, Medusa sekarang dipromosikan sebagai MaaS (malware-as-a-service) untuk DDoS atau menambang melalui portal khusus. Ini menjanjikan stabilitas layanan, anonimitas klien, dukungan, API yang mudah digunakan, dan biaya yang dapat disesuaikan berdasarkan kebutuhan khusus.
“Yang sangat menarik dalam varian Medusa baru ini adalah fungsi ransomware yang memungkinkannya mencari semua direktori untuk jenis file yang valid untuk enkripsi. Daftar jenis file target terutama mencakup dokumen dan file desain vektor,” kata Cyble.
Cyble menjelaskan, file yang valid dienkripsi menggunakan enkripsi AES 256-bit, dan ekstensi .medusastealer ditambahkan ke nama file yang dienkripsi Namun, metode enkripsi tampaknya rusak, mengubah ransomware menjadi penghapus data.
Setelah mengenkripsi file di perangkat, malware tidur selama 86.400 detik (24 jam) dan menghapus semua file di drive sistem. Hanya setelah menghapus file, itu menampilkan catatan tebusan yang meminta pembayaran 0,5 BTC ($ 11.400), yang kontra-intuitif untuk upaya pemerasan yang berhasil.
“Kesalahan dalam kode karena penghancuran drive sistem membuat korban tidak dapat menggunakan sistem mereka dan membaca catatan tebusan, bug ini juga menandakan bahwa varian baru Medusa, atau setidaknya fitur ini, masih dalam pengembangan,” tambah Cyble.
Perlu dicatat bahwa meskipun versi baru Medusa menampilkan alat eksfiltrasi data, itu tidak mencuri file pengguna sebelum enkripsi. Alih-alih, ini berfokus pada pengumpulan informasi sistem dasar yang membantu mengidentifikasi korban dan memperkirakan sumber daya yang dapat digunakan untuk penambangan dan serangan DDoS.
Medusa juga dilengkapi dengan brute forcer yang mencoba nama pengguna dan kata sandi yang umum digunakan terhadap perangkat yang terhubung ke internet. Kemudian, jika berhasil, ia mencoba mengunduh muatan tambahan yang belum dapat diambil dan dianalisis oleh Cyble.
Selanjutnya, Medusa mengeksekusi perintah "zmap" untuk menemukan perangkat lain dengan layanan Telnet yang berjalan pada port 23 dan kemudian mencoba menyambungkannya menggunakan alamat IP yang diambil dan kombinasi nama pengguna dan kata sandi. Terakhir, setelah membuat koneksi Telnet, malware menginfeksi sistem dengan muatan Medusa utama ("infection_medusa_stealer").
Muatan Medusa terakhir juga memiliki dukungan yang tidak lengkap untuk menerima perintah "FivemBackdoor" dan "sshlogin". Namun, kode yang sesuai belum ada dalam file Python klien, yang merupakan tanda lain dari pengembangan yang sedang berlangsung.
Comments
Post a Comment