 |
Una operación de ransomware conocida como Medusa ha empezado a cobrar fuerza en 2023, dirigiéndose a víctimas corporativas de todo el mundo con peticiones de rescate millonarias. La operación Medusa comenzó en junio de 2021, pero tuvo una actividad relativamente baja, con pocas víctimas. Sin embargo, en 2023 la banda de ransomware aumentó su actividad y lanzó un "Medusa Blog" utilizado para filtrar datos de las víctimas que se negaban a pagar un rescate. |
Medusa acaparó la atención de los medios esta semana después de que reivindicaran la autoría de un ataque al distrito de las Escuelas Públicas de Minneapolis (MPS) y compartieran un vídeo de los datos robados.
Muchas familias de malware se autodenominan Medusa, incluida una red de bots basada en Mirai con funciones de ransomware, un malware Medusa para Android y la operación de ransomware MedusaLocker, ampliamente conocida.
Debido al nombre comúnmente utilizado, ha habido algunos informes confusos sobre esta familia de ransomware, con muchos pensando que es lo mismo que MedusaLocker.
Sin embargo, los ransomware Medusa y MedusaLocker son completamente diferentes.
La operación MedusaLocker se lanzó en 2019 como un Ransomware-as-a-Service, con numerosos afiliados, una nota de rescate comúnmente llamada How_to_back_files.html, y una amplia variedad de extensiones de archivo para los archivos cifrados.
La operación MedusaLocker utiliza un sitio web Tor en qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion para la negociación.
Sin embargo, la operación del ransomware Medusa se lanzó alrededor de junio de 2021 y ha estado utilizando una nota de rescate llamada !!!READ_ME_MEDUSA!!!.txt y una extensión de archivo cifrado estático de .MEDUSA.
La operación Medusa también utiliza un sitio web Tor para negociar el rescate, aunque el suyo se encuentra en medusacegu2ufmc3kx2kkqicrlcxdettsjcenhjena6uannk5f4ffuyd.onion.
Cómo encripta Medusa los dispositivos Windows
El cifrador de Windows acepta opciones de línea de comandos que permiten a los atacantes configurar cómo se cifrarán los archivos en el dispositivo, como se muestra a continuación.
Por ejemplo, el argumento de línea de comandos -v hará que el ransomware muestre una consola, mostrando mensajes de estado mientras cifra un dispositivo.
Ventana de consola del ransomware Medusa
Fuente: BleepingComputer
En una ejecución normal, sin argumentos de línea de comandos, el ransomware Medusa terminará más de 280 servicios y procesos de Windows para programas que pueden impedir que se cifren los archivos. Entre ellos se incluyen servicios de Windows para servidores de correo, servidores de bases de datos, servidores de copias de seguridad y software de seguridad.
A continuación, el ransomware eliminará las Shadow Volume Copies de Windows para impedir que se utilicen para recuperar archivos.
El experto en ransomware Michael Gillespie también analizó el encriptador y dijo a BleepingComputer que cifra los archivos utilizando el cifrado AES-256 + RSA-2048 usando la biblioteca BCrypt.
Gillespie confirmó además que el método de cifrado utilizado en Medusa es diferente del empleado en MedusaLocker.
Al cifrar los archivos, el ransomware añade la extensión .MEDUSA a los nombres de los archivos cifrados, como se muestra a continuación. Por ejemplo, 1.doc sería cifrado y renombrado a 1.doc.MEDUSA.
En cada carpeta, el ransomware creará una nota de rescate llamada !!!READ_ME_MEDUSA!!!.txt que contiene información sobre lo ocurrido con los archivos de la víctima.
La nota de rescate también incluirá información de contacto de extensión, incluyendo un sitio de fuga de datos Tor, un sitio de negociación Tor, un canal Telegram, un ID Tox y la dirección de correo electrónico This email address is being protected from spambots. You need JavaScript enabled to view it..
El sitio de negociación Tor está en http://medusacegu2ufmc3kx2kkqicrlcxdettsjcenhjena6uannk5f4ffuyd.onion.
Como paso adicional para impedir la restauración de archivos de copias de seguridad, el ransomware Medusa ejecutará el siguiente comando para eliminar los archivos almacenados localmente asociados a programas de copia de seguridad, como Windows Backup. Este comando también borrará los discos duros virtuales (VHD) utilizados por las máquinas virtuales.
El sitio de negociación Tor se llama a sí mismo "Secure Chat", donde cada víctima tiene un ID único que puede utilizarse para comunicarse con la banda de ransomware.
Como la mayoría de las operaciones de ransomware dirigidas a empresas, Medusa tiene un sitio de filtración de datos llamado "Medusa Blog". Este sitio se utiliza como parte de la estrategia de doble extorsión de la banda, en la que filtran datos para las víctimas que se niegan a pagar un rescate.
Cuando se añade una víctima a la fuga de datos, sus datos no se publican inmediatamente. En su lugar, los atacantes ofrecen a las víctimas opciones de pago para ampliar la cuenta atrás antes de que se publiquen los datos, para borrarlos o para descargarlos todos. Cada una de estas opciones tiene diferentes precios, como se muestra a continuación.
Estas tres opciones se realizan para ejercer una presión adicional sobre la víctima y asustarla para que pague el rescate.
Desafortunadamente, no hay debilidades conocidas en el cifrado del ransomware Medusa que permitan a las víctimas recuperar sus archivos de forma gratuita.
Fuente: https://www.bleepingcomputer.com/news/security/medusa-ransomware-gang-picks-up-steam-as-it-targets-companies-worldwide/