Grupo Medusa ganha força ao atingir empresas em todo o mundo. Veja como eles usam criptografia para roubo de dados e ataques DDoS

Por Caique Barqueta: Considerado um dos grupos de Ransomware mais ativo de 2023, o Medusa tem se tornado uma operação em constante evolução, inclusive do método utilizado para publicação dos dados vazados das vítimas, o qual acaba por divulgar em seu site de data leak disponível na rede onion.

Por vezes, podemos acabar por confundir as operações de Ransomware, visto que existem ao menos duas variantes de grupos que se auto-intitulam com o nome Medusa, para entender a diferença, é necessário descrever um pouco da identificação e funcionamento.     

O MedusaLocker iniciou suas operações em meados de setembro de 2019 e, embora não haja identificação de como o ransomware estava sendo distribuído na época, foi verificado apenas uma grande quantidade de variantes enviadas para o site ID Ransomware. Esta variante utilizada o nome da nota de resgate como “How_to_back_files.html”.

O Medusa, foi identificado como início da sua campanha em meados de junho de 2021 e possui um anota de resgate identificada como “!!!RED_ME_MEDUSA!!!.txt” e uma extensão de arquivos como “.MEDUSA”.

Além dos ransomware mencionados, existem outros malwares que utilizam o nome de Medusa, como Malware para Android e a BotNet baseada no Mirai, todas se autodenominando como Medusa.

MedusaLocker

Conforme mencionado, a operação do grupo de ransomware MedusaLocker iniciou em 2019 e após a sua inicialização, executava diversas rotinas para que o computador ou host alvo esteja preparado para a criptografia.

Inicialmente o Ransomware irá alterar o valor no Registro do Windows no EnableLinkedConnections na chave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System, definindo como o valor 1. Essa etapa é executada visando garantir que as unidades mapeadas sejam acessíveis para o processo iniciado pelo UAC do sistema.

A próxima etapa é reiniciar o serviço LanmanWorkstation que visa garantir que a rede do Windows esteja em execução e que as unidades de rede mapeadas estejam acessíveis.

O ransomware também irá procurar e encerrar os processos para garantir que todos os dados estejam fechados e acessíveis para a criptografia:

WrapperDefWatchccEvtMgrccSetMgrSavRoam
sqlServrSqlagentSqladhlpCulserverRTVscan
SqlbrowserSQLADHLPQBIDPServiceIntuit.QUickBooks.FCSQBCFMonitorService
SqlwriterMsmdsrvTomcat6ZhudongfangyuSQLADHLP
Vmware-usbarbitator64Vmware-converterDbsrv12Dbeng8wxServer.exe
wxServerViewSqlservr.exeSqlmangr.exeRAgui.exeSupervise.exe
Culture.exeRTVscan.exeDefwatch.exeSqlbrowser.exeWinword.exe
QBW32.exeQbupdate.exeQBCFMonitorService.exeAxlbridge.exeQBIDPService.exe
Httpd.exeFdlauncher.exeMsDtSrvr.exeTomcat6.exeJava.exe
360se.exe360doctor.exeWdswfsafe.exeFdlauncher.exeFdhost.exe
GDscan.exeZhuDongFangyu.exe   
Tabela 1 – Processos que são encerrados pelo MedusaLocker.

O ransomware ainda realiza a limpeza do Volume Shadow Copies, para que não possa ser realizado a restauração de arquivos, bem como remove os backups realizados com o serviço do Windows e desativa o reparo automático de inicialização do Windows utilizando os comandos:

vssadmin.exe Delete Shadows /All /Quiet

wmic.exe SHADOWCOPY /nointeractive

bcdedit.exe /set {default} recoveryenabled No

bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures

wbadmin DELETE SYSTEMSTATEBACKUP

wbadmin DELETE SYSTEMSTATEBACKUP -deleteOldest

O MedusaLocker iniciará o scaner de todas as unidades do dispositivo em busca de arquivos para criptografar. Ele não irá realizar a criptografia de arquivos com as extensões .exe, .dll, .sys, .ini, .lnk, .rdp, .encrypted (ou outra extensão usada para arquivos criptografados), bem como os arquivos se encontram armazenados nas pastas:

USERPROFILE PROGRAMFILES(x86)
ProgramData
\AppData
WINDIR
\Application Data
\Program Files
\Users\All Users
\Windows
\intel
\nvidia
Tabela 2 – Pastas que são excluídas de criptografias

O Ransomware utilizará a criptografia AES para os arquivos e, em seguida, a chave AES será criptografada por uma chave pública RSA-2048, incluída no payload do ransomware.

Para cada arquivo encriptado será anexado algumas das extensões abaixo, tendo em vista que poderá variar de acordo com cada variante e versão:

.encrypted
.bomber
.boroff
.breakingbad
.locker16
.newlock
.nlocker
.skynet
Tabela 3 – Extensões anexadas a arquivos que são criptografados.

Figura 1 – Arquivos criptografados pelo MedusaLocker.

Após a criptografia, o ransomware irá “dormir ou utilizar a função sleep” por aproximadamente 60 segundos e em seguida, irá verificar as unidades novamente em busca de novos arquivos para criptografar.

Quando executado, o ransomware se copia para o PATH: %UserProfile%\AppData\Roaming\svchostt.exe e cria uma tarefa agendada que inicia o programa a cada 30 minutos para permanecer persistente.

Em cada pasta que o arquivo é criptografado, o MedusaLocker criará uma nota de resgate chamada “HOW_TO_RECOVER_DATA.html” ou Readme.html” que contém as informações e endereços de e-mail para contato e instruções de pagamentos.

Figura 2 – Nota de resgate do MedusaLocker.

Logo, na época de sua identificação tratava-se de um ransomware altamente destrutivo, realizando diversas vítimas durante sua operação.

Ransomware Medusa

Com relação a amostra obtida do Ransomware Medusa, cuja operação se iniciou em 2021 foi possível verificar que até o momento existem apenas para o Sistema Operacional Windows.

O payload do ransomware é também configurável, ou seja, aceita determinados argumentos de linha de comando na qual o ator de ameaça poderá configurar quais são os arquivos que serão criptografados no dispositivo, conforme abaixo:

Opções do Comando/ArgumentoDescrição
-VObter a versão
-dNão exclua a sua mesmo
-fExcluir a pasta do sistema
-iNo caminho
-kCaminho do arquivo chave
-nUtilizar na Rede
-pNão pré-processar (pré-processar = eliminar serviços e shadow copies)
-sExcluir unidade do sistema
-tAnote o caminho do arquivo
-vMostrar a janela do console
-wCaminho do Powershell de execução inicial (powershell -executionpolicy bypass -File %s)
Tabela 4 – Configuração e argumentos utilizados pelo Ransomware Medusa.

Um exemplo é que se o argumento de linha de comando “-v” for utilizado ele fará com que o ransomware exiba um console mostrando mensagens de status enquanto criptografa um dispositivo.

Figura 3 – Console exibido pelo Ransomware Medusa.

Caso seja executado sem qualquer tipo de definição de argumentos de linha de comando, o Ransomware Medusa irá encerrar mais de 280 serviços e processos do Windows, os quais se estiverem em execução, prejudicarão a execução e criptografia do Ransomware.

O Ransomware ainda irá excluir as cópias de volume de sombras do Windows (shadow volume copies) para impedir que haja a restauração.

deletes shadow volume copies

vssadmin Delete Shadows /all /quiet

vssadmin resize shadowstorage /for=%s /on=%s /maxsize=unbounded

O algoritmo de criptografia foi identificado como utilizando a criptografia AES-256 + RSA-2048 através da biblioteca BCrypt.  O método segundo pesquisadores é diferente do Ransomware Medusa.

Após a criptografia dos arquivos, o Ransomware adicionará a extensão “.MEDUSA” aos nomes dos arquivos criptografados.

Figura 4 – Arquivos criptografados pelo Medusa.

E, em cada pasta o ransomware irá criar uma pasta contendo uma nota de resgate chamada “!!!READ_ME_MEDUSA!!!.txt” que contém informações sobre o que aconteceu com os arquivos da vítima.

A nota de resgate também incluirá informações de contato da extensão, incluindo um site de vazamento de dados do Tor, um canal do Telegram, um Tox ID e o endereço de e-mail “key.medusa.serviceteam@protonmail.com”.

Figura 5 – Nota de Resgate do Ransomware Medusa.

Na etapa seguinte, com o intuito de impedir a restauração dos arquivos de backups, o ransomware Medusa irá executar o comando abaixo para excluir arquivos armazenados localmente associados a programas de backup, como o Windows Backup e também excluirá discos rígidos virtuais (VHD) utilizados por VMs.

del /s /f /q %s*.VHD %s*.bac %s*.bak %s*.wbcat %s*.bkf %sBackup*.* %sbackup*.* %s*.set %s*.win %s*.dsk

O Ransomware Medusa também possui um site de data leak na qual anunciam as empresas que foram vítimas, os quais ameaçam publicar os arquivos exfiltrados dos ambientes das vítimas.

Figura 6 – Captura do site de negociação e publicação de arquivos do Medusa.

Além da publicação, os atores de ameaças do Ransomware Medusa passaram a criar vídeos na plataforma Vimeo com o intuito de divulgar por completo os arquivos extraídos da vítima, utilizando-se até mesmo de uma vinheta na qual é possível visualizar que além do trabalho de criptografia (criação do ransomware) também possuem um certo “zelo” pela aparência das divulgações de vazamentos de dados.

Figura 7 – Introdução do vídeo de data leak do Medusa.

Medusa botnet

Recentemente, houve o retorno da nova versão do botnet Medusa DDoS (negação de serviço distribuída), o qual foi criado baseado no código fonte da botnet Mirai, apresentando um módulo de ransomware e um brute force Telnet.

O malware Medusa é uma variante de um malware antigo, sendo anunciado nos mercados da darknet desde 2015, adicionando-se recursos DDoS baseados em HTTP no ano de 2017.

A nova variante é uma continuação da antiga cepa de malware, e a sua versão mais recente encontrada em 2023 é baseada no código-fonte vazado do botnet Mirai, herdando seus recursos de segmentação do Linux e extensas opções de ataque DDoS.

Além disso, o malware é promovido como um MaaS (malware como serviço) para DDoS ou mineração por meio de um portal dedicado, prometendo estabilidade de serviço, anonimato do cliente, suporte, uma API fácil de usar e custo ajustável com base em necessidades específicas.

Figura 8 – Site e anúncio do MaaS do Medusa.

Outro fato observado é que a versão possui a função de Ransomware, permitindo pesquisar todos os diretórios em busca de tipos de arquivos válidos para criptografia. A análise foi apresentada pela Cyble a qual listou e apresentou os tipos de arquivos de destino, incluindo principalmente documentos e arquivos de desenho vetorial.

Figura 9 – Tipos de arquivos visados pelo Medusa.

Os arquivos válidos são criptografados usando criptografia AES-256 e a extensão “.medusastealer” é anexada ao nome dos arquivos criptografados.

Figura 10 – Função do ransomware do malware Medusa.

No entanto, o método de criptografia parece quebrado, transformando o ransomware em um wiper de dados. Após a criptografia dos arquivos nos dispositivos, o malware hiberna por 86.400 segundos (24 horas) e exclui todos os arquivos das unidades do sistema.

Somente após a exclusão dos arquivos, ele exibe uma nota de resgate que solicita o pagamento de 0,5 BTC, o que é contraintuitivo para uma tentativa de extorsão bem-sucedida.

Figura 11 – Nota de resgate de Medusa.

Os pesquisadores acreditam que se trata de um erro no código, pois a destruição das unidades do sistema impossibilita que as vítimas usem seus sistemas e leiam a nota de resgate. Esse bug, também indica que a nova variante da Medusa, ou pelo menos esse recurso, ainda está em desenvolvimento.

Além disso, nesta variante ela não rouba os arquivos do usuário antes da criptografia, em vez disso coleta as informações básicas do sistema que ajudam a identificar vítimas e estimar recursos que podem ser usados para mineração e ataques DDoS.

Figura 12 – Exfiltração de dados do sistema violado.

O malware também possui o brute force que testa nomes de usuários e senhas comumente utilizados em dispositivos conectados à Internet, então, se caso for bem-sucedido, ele tentará baixar um payload adicional que não foi possível recuperar e analisar.

Na sequência, o Malware Medusa executa o comando “zmap” para encontrar outros dispositivos com serviços Telnet em execução na porta 23 e tenta se conectar a eles utilizando os endereços IP recuperados e uma combinação de nomes de usuários e senhas.            

Por fim, aos estabelecer uma conexão Telnet, o malware infecta o sistema com o payload útil primária do Medusa (“infection_medusa_stealer”).

Figura 13 – Função de ataque do Telnet.

O payload final do Medusa também tem suporte incompleto para receber comandos “FivemBackdoor” e “sshlogin”. Porém, isto poderá apresentar que o código ainda está em desenvolvimento contínuo.

Conclusão

Como observado, é possível verificar que o nome “Medusa” se encontra sendo utilizado por diversos grupos de malwares e ransomwares, os quais se apresentam como MedusaLocker, Ransomware Medusa ou o MaaS Medusa.

Com alto poder destrutivo, é observado que o Ransomware Medusa, por exemplo, está sendo utilizado amplamente para ataques a organizações globalmente, inclusive na América Latina, nos quais os resgates passam da casa de milhões!

Recomendações

Além dos indicadores de comprometimento elencados abaixo pela ISH, poderão ser adotadas medidas visando a mitigação da infecção do referido malware, como por exemplo:

  • Realização de backups regulares: Armazene cópias de segurança de todos os dados importantes em um local seguro e desconectado.
  • Realização de atualizações de softwares: Mantenha todos os softwares de ativos atualizados, incluindo sistemas operacionais e aplicativos.
  • Utilização de proteção de rede, como firewalls, antivírus e outras medidas de segurança para proteger sua rede.
  • Realização do trabalho de conscientização com os colaboradores, ensinando aos mesmos a reconhecer e evitar ameaças, como phishing e/ou clicar em links maliciosos.
  • Monitoração regular da sua rede e sistemas para identificar e responder rapidamente a qualquer atividade suspeita.

Criação e aplicação de um plano de resposta de incidentes, sendo que em caso de ataques de ransomware poderão ser utilizados e conterão informações como questões relacionadas a backups e recuperação de sistema.

Indicadores de Comprometimento

A ISH Tecnologia realiza o tratamento de diversos indicadores de compromissos coletados por meio de fontes abertas, fechadas e também de análises realizadas pela equipe de segurança Heimdall. Diante disto, abaixo listamos todos os Indicadores de Compromissos (IOCs) relacionadas a análise do(s) artefato(s) deste relatório.

Indicadores de compromisso de artefato malicioso/analisado
md5:19ddac9782acd73f66c5fe040e86ddee
sha1:24ceba1e2951cde8e41939da21c6ba3030fc531d
sha256:dde3c98b6a370fb8d1785f3134a76cb465cd663db20dffe011da57a4de37aa95
File name:svchostt.exe
Indicadores de compromisso de artefato malicioso/analisado
md5:06ff220aea6c9e27fd1765f25b9e27fb
sha1:fdf63523e9d0c27025d2df05de841e1079c974d4
sha256:02d420c8ec7f6f944d053373e788f734b0a9a7b6c6d3bb07ade5a9728ed038af
File name:svhost.exe
Indicadores de compromisso de artefato malicioso/analisado
md5:aa3684dd93b13628b626723bfe313dbc
sha1:d2a08733f52ba0187dd43a45b7ea6953f69522bd
sha256:02f250a3df59dec575f26679ebd25de7c1d5b4d9d08016685f87a3628a393f92
File name:svchostt.exe
Indicadores de compromisso de artefato malicioso/analisado
md5:a80b79de02d6881d5e54afcefa38298a
sha1:e0d3e2612a757ff5be818b114028a0e4bb562bc5
sha256:033b4950a8f249b20eb86ec6f8f2ea0a1567bb164289d1aa7fb0ba51f9bbe46c
File name:64CO.exe
Indicadores de compromisso de artefato malicioso/analisado
md5:87c5c72a57a08ca2f3bfac5485eb0fe6
sha1:4d38a9aaa50bc35439054610bb45eb2298458404
sha256:03df9dbf3fa35b88d948935e122a0217228ed7d1d3c892265791b55e38fae24c
File name:Sh_1.8.2_2.exe
Indicadores de compromisso de artefato malicioso/analisado
md5:c963b021bb8c55cacd4b830c67186232
sha1:58b69e090c23bbb16b656ee750f4e5a9aff246b2
sha256:03ebe8dc4828536fea08858fdfc3b53237eb514fe8cf6bc7134afb41b22f96a2
File name:svhost.exe
Indicadores de compromisso de artefato malicioso/analisado
md5:da9d1a7d9a121cd33c22e22bc064ed80
sha1:e612d668e95007c8991773e3a778411636dbd11c
sha256:0432b4ad0f978dd765ac366f768108b78624dab8704e119181a746115c2bef75
Indicadores de compromisso de artefato malicioso/analisado
md5:47d3b5d4e9a2ffb63b78c8a6a5dc5939
sha1:5605157eae0ba33b13fe54745a68a9ceaa1e7216
sha256:047afef95d0db82439c20da0bcd544af6d4b670f1417d7a4d51c940588d5e74c
Indicadores de compromisso de artefato malicioso/analisado
md5:4660887b36d65e42b7d71d5e18187dfe
sha1:49ad1eecb9bbb8d736833006685b8c2c1300115b
sha256:05b51b5f41e483020d14126522a13c69b75e5cbb093a78980877bb60cf778873
File name:64_MEcip3.exe
Indicadores de compromisso de artefato malicioso/analisado
md5:776c3265856d049f8eba7b6e539328f7
sha1:ac4cb42d50b07a2ace5937d94e4f581ab6bbbf46
sha256:0899dc78882197aa1fed57e1c76fc8bfac94475d58ea23722388de813ab6f65d
Indicadores de compromisso de artefato malicioso/analisado
md5:7bd13614cc9bec4e996e315eefae7150
sha1:00b0352233f29a8a9942a84c8dd9bf8cd44f72d4
sha256:08bdbb7d507b7d9173b78ec8430882dac14a3c653cc41feb21bc2364f0e0b32f
Indicadores de compromisso de artefato malicioso/analisado
md5:a410f9ba08fd91c86da28a564852aa50
sha1:55850587b950c6b9a07bf6f9a5e8b0dbadcb45be
sha256:08ce4d126715ecb4001d02e9eb1e10fb24c20b3a0c7ecc3a4170073caa93a44e
Indicadores de compromisso de artefato malicioso/analisado
md5:0d2a9990e815349c4e6fa8573ccf5bda
sha1:52326d4bff0d80a045006f1a44de0e3a8f942557
sha256:09198fa8250aef54bdc416ee2e223cc20bfcd88c5bec4aa29f815425e1744f26
Indicadores de compromisso de artefato malicioso/analisado
md5:50cb8959fad4a94b2c6927325e46306d
sha1:1db0f2a6e3415f49681ee56bba524e3ad4a3810e
sha256:0a82724cfb44769e69d75318b0868cd6de4aa789951362b3e86199e6c7922610
File name:svhost.exe
Indicadores de compromisso de artefato malicioso/analisado
md5:cc3652c078fa2bdfbbfae33335c30bda
sha1:b3d3ad0c2c9d526717f55c431d51c2f1e957325b
sha256:0abb4a302819cdca6c9f56893ca2b52856b55a0aa68a3cb8bdcd55dcc1fad9ad
Indicadores de compromisso de artefato malicioso/analisado
md5:f8efb1d4be09451e1e5fdbdcc6c4e51e
sha1:a74dd8e31ee3229fe076168f3bd0da941fd2b345
sha256:0bad6382f3e3c8bf90f4a141b344154f8f70e31a98f354b8ac813b9fcdaf48f7
Indicadores de compromisso de artefato malicioso/analisado
md5:6fa0eba23d16066944fa81e1bd50ae2a
sha1:c764db086d8f21e64aedb469f69f202af1b2c5a0
sha256:0c840606112df18bfa06d58195a0ed43715c56899445d55f55bc3789fde14ed9
Indicadores de compromisso de artefato malicioso/analisado
md5:e63e41e15e86489a98dbeb2e6cb44e8a
sha1:5815d349a375f5cdf090ababcff86b3946ed6c07
sha256:0dd34e1326f18ab113be5ec91003577845f62ce25bbed8f92bff0b4077fe45da
File name:2.exe
Indicadores de compromisso de artefato malicioso/analisado
md5:1a2f56aa0186b98dc77f5f493cd592b4
sha1:fbf4c6cc257bd31c9c1628e805ce85b14284713a
sha256:0f3bc144689b4ba5a96b87f8ada895b0c7a283e72aa9c533d63d6959138ca531
Indicadores de compromisso de artefato malicioso/analisado
md5:ec931ad8f9d14cb56ba08f53ecd06899
sha1:1e0fefc24d52ea727a0cca157d71389744cad726
sha256:0f58037bc1571e77b4d542ea7dbd91ffd1ea4c0d09898f78d679b1ed08fb51d7
Indicadores de compromisso de artefato malicioso/analisado
md5:6701070c21d3c6487c3e6291f2f0f1c9
sha1:7219f91bd5fb94128159d18956e1bd9132bf10e0
sha256:104ffe0cc10413b8c3dd04fdc921f07c3cc55efba9a63ccdccf45e4012151c5f
File name:svchostt.exe
Indicadores de compromisso de artefato malicioso/analisado
md5:ed64d941fd8603196c0e31ae58c1992d
sha1:54c67bb062d73ae9fabf5f0e1e2136e05cb6e69b
sha256:2491bb75c8a3d3b8728ab46a933cd81f8176c1f9d7292faeecea67d71ce87b5c
File name:medusa_stealer.x86
Indicadores de compromisso de artefato malicioso/analisado
md5:e3a08ffb7106ece9612d3aa8078a8287
sha1:c059eec897c48b81cfc6a6765e176cc88231c31e
sha256:87b5ba7da8aa64721baca0421a01e01bb1f1ca8a2f73daa3ca2f5857e353c182
File name:medusa_stealer.sh
Indicadores de compromisso de artefato malicioso/analisado
md5:336674857b5ede1e09daeff1a14adedc
sha1:088332f4ff6b6a12f094a429d6f60ec500d3d85b
sha256:2f2759b5933f06c9fdbc87ea941e8ef53ea0e3b715afd57de52ed2927d197c33
File name:clientv2.py
Indicadores de compromisso de artefato malicioso/analisado
md5:ed24c7c0b73887e35f1c12ab0dda98fe
sha1:dc6ea04feb31eb9539f577d7965d0fb925dd7e52
sha256:bce94b214a6bae00b03ada34c66210d9143895d6c0be9e21c10e9951cc469fbf
File name:clientv2.py
Indicadores de compromisso de artefato malicioso/analisado
md5:14655930fab2319ff9cd5187a0caa242
sha1:3bcbc498de18d91a1d05e428fa94e4145959fbd2
sha256:48f5f09ddd7089a9397d26e219eb1a1a937c3238f7ecdc7cdfc5383141d77ad9
File name:clientv2.py
Indicadores de compromisso de artefato malicioso/analisado
md5:1eee2293e51b01300c75b649715e472d
sha1:b2134b18e827402378da09a8dcd9da92509e8131
sha256:5799ee35a334f839bb666a0136ca2615390d0b7fb6a14875bafbfab3414045e9
File name:clientv2.py

URLs de distribuição e endereços IP C2:

sambolero@tutanoa.com
rightcheck@cock.li
hxxp://45.145.167[.]117/medusa_stealer.sh
medusa-stealer[.]cc
Tabela 5 – IoCs de rede.

Obs: Os links e endereços de IP elencados acima podem estar ativos; cuidado ao realizar a manipulação dos referidos IoCs, evite realizar o clique e se tornar vítima do conteúdo malicioso hospedado no IoC.

Referências

  • Heimdall by ISH Tecnologia
  • Informações sobre o MedusaLocker, Bleeping Computer
  • Informações sobre o Ransomware Medusa, Bleeping Computer
  • Medusa Botnet baseado no Mirai, Cyble