美杜莎勒索软件团伙以全球企业为目标进行攻击
2023-3-30 12:2:36 Author: 嘶吼专业版(查看原文) 阅读量:13 收藏

从2021年6月开始,关于美杜莎团伙,只看到了少量的受害者和一些低水平的攻击活动。然而,这个勒索软件团伙在2023年加大了行动力度,并建立了一个 "美杜莎博客",威胁拒绝支付赎金的受害者要对外泄露他们的数据。

上周,Medusa声称对明尼阿波利斯公立学校(MPS)区的攻击负责,并分享了一段被盗数据的视频后,受到了公众的广泛关注。

       关于美杜莎的介绍

Medusa是几个恶意软件家族的名字,这其中包括著名的MedusaLocker勒索软件家族,一个Android恶意软件家族,以及一个基于Mirai的具有勒索软件功能的僵尸网络。

由于该家族的名字一直被广泛使用,而且关于它的信息也一直很模糊,导致许多人认为它与MedusaLocker相同。然而,Medusa和MedusaLocker恶意软件之间存在着明显的差异。

MedusaLocker在2019年作为赎金软件即服务首次亮相,它攻击了大量的机构,赎金说明文件通常是How_to_back_files.html,这其中还包括一些加密文件。

关于赎金的谈判,MedusaLocker使用了一个Tor网站qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion。

然而,.MEDUSA静态加密文件扩展名和!!!READ_ME_MEDUSA!!!.txt赎金说明自2021年6月启动以来,就一直被Medusa勒索软件团伙所使用。

       使用Windows程序来加密数据

目前,不知道安全专家是否针对Linux的Medusa加密程序进行了分析;目前只知道他们分析了Windows版本。Windows加密器可以接受命令行参数,让威胁行为者控制系统中文件加密设置。例如,如果使用-v命令行参数,该勒索软件将显示一个控制台,并在加密设备时显示状态信息。

美杜莎勒索软件会终止280多个可能阻止文件被定期加密的Windows服务和进程。数据库服务器、备份服务器和安全应用程序的Windows服务都在其中。然后,为了防止文件被轻易恢复,勒索软件将会删除Windows影子卷副本。

勒索软件专家Michael Gillespie也检查了这个加密器,并向媒体透露,它使用了BCrypt库的AES-256 + RSA-2048加密方式来加密文件。

像大多数针对企业的勒索软件一样,Medusa的特点是建立了一个名为 "Medusa博客 "的网站,攻击者主要从这里泄露数据。这个网站的搭建也是该团伙双重勒索计划的一部分,拒绝支付赎金的受害者,那么就会对外公开他们的数据。

当攻击者决定对外公开受害者的数据时,他们的数据并不会立即被公开。还有另外的一种选择,威胁者还会向受害者提供各种付款选择,以推迟数据的发布,数据的删除,或下载整个数据集。每种选择的成本都不同。

要求赎金是为了增加受害者内心的压力,威胁他们尽快支付赎金。但是遗憾的是,在Medusa Ransomware的加密程序中并没有找到任何漏洞,允许受害者在不付费的情况下恢复其系统的文件。

参考及来源:https://www.cysecurity.news/2023/03/targeting-businesses-globally-medusa.html


文章来源: http://mp.weixin.qq.com/s?__biz=MzI0MDY1MDU4MQ==&mid=2247559388&idx=3&sn=eb8933e9a7d40c74bf497fddfa5529e6&chksm=e91438e6de63b1f0f47a0280ad27d385a7d6cdaa710074a4c7eaa6b06419fe82b0836143facf#rd
如有侵权请联系:admin#unsafe.sh