Medusa Botnet passa por grande transformação

O botnet Medusa foi detectado pela primeira vez em 2015, sendo anunciado nos mercados darknet. Em 2017, foi atualizado com recursos DDoS baseados em HTTP e a nova versão é uma extensão da antiga com recursos adicionais para capturar mais dispositivos.

Qual é a atualização?

• A versão mais recente herda os recursos de segmentação do Linux e expande as opções de ataque DDoS emprestadas da fonte vazada do botnet Mirai.
• Além disso, o botnet agora é promovido como um Malware-as-a-Service (MaaS) para DDoS e mineração de criptomoeda.
• A nova versão do Medusa apresenta uma ferramenta de exfiltração de dados, no entanto, não rouba arquivos do usuário antes da criptografia. Em vez disso, ele coleta informações do sistema necessárias para mineração e ataques DDoS.

Addiinig módulo ransomware

Mais crítico o aspecto dessa nova variante de botnet é que ela inclui uma função de ransomware que permite pesquisar diretórios em busca de tipos de arquivos específicos para criptografia.

• A lista de tipos de arquivos de destino inclui principalmente documentos e arquivos de desenho vetorial.
• Esses arquivos são criptografados usando o algoritmo AES de 256 bits e a extensão .medusastealer é anexada a eles.
• No entanto, o método de criptografia parece estar quebrado, devido ao qual todos os arquivos são excluídos das unidades do sistema.
• Somente após a exclusão dos arquivos, ele exibe uma nota que solicita 0,5 BTC no pagamento do resgate.

Conclusão

O erro de criptografia na nova variante da Medusa indica que ela ainda está em desenvolvimento. Além disso, a carga final tem suporte incompleto para vários comandos maliciosos. À medida que os agentes de ameaças continuam a desenvolver a botnet, é provável que ataques mais sofisticados sejam vistos no futuro.