Por Caique Barqueta: Considerado um dos grupos de Ransomware mais ativo de 2023, o Medusa tem se tornado uma operação em constante evolução, inclusive do método utilizado para publicação dos dados vazados das vítimas, o qual acaba por divulgar em seu site de data leak disponível na rede onion.
Por vezes, podemos acabar por confundir as operações de Ransomware, visto que existem ao menos duas variantes de grupos que se auto-intitulam com o nome Medusa, para entender a diferença, é necessário descrever um pouco da identificação e funcionamento.
O MedusaLocker iniciou suas operações em meados de setembro de 2019 e, embora não haja identificação de como o ransomware estava sendo distribuído na época, foi verificado apenas uma grande quantidade de variantes enviadas para o site ID Ransomware. Esta variante utilizada o nome da nota de resgate como “How_to_back_files.html”.
O Medusa, foi identificado como início da sua campanha em meados de junho de 2021 e possui um anota de resgate identificada como “!!!RED_ME_MEDUSA!!!.txt” e uma extensão de arquivos como “.MEDUSA”.
Além dos ransomware mencionados, existem outros malwares que utilizam o nome de Medusa, como Malware para Android e a BotNet baseada no Mirai, todas se autodenominando como Medusa.
MedusaLocker
Conforme mencionado, a operação do grupo de ransomware MedusaLocker iniciou em 2019 e após a sua inicialização, executava diversas rotinas para que o computador ou host alvo esteja preparado para a criptografia.
Inicialmente o Ransomware irá alterar o valor no Registro do Windows no EnableLinkedConnections na chave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System, definindo como o valor 1. Essa etapa é executada visando garantir que as unidades mapeadas sejam acessíveis para o processo iniciado pelo UAC do sistema.
A próxima etapa é reiniciar o serviço LanmanWorkstation que visa garantir que a rede do Windows esteja em execução e que as unidades de rede mapeadas estejam acessíveis.
O ransomware também irá procurar e encerrar os processos para garantir que todos os dados estejam fechados e acessíveis para a criptografia:
| Wrapper | DefWatch | ccEvtMgr | ccSetMgr | SavRoam |
| sqlServr | Sqlagent | Sqladhlp | Culserver | RTVscan |
| Sqlbrowser | SQLADHLP | QBIDPService | Intuit.QUickBooks.FCS | QBCFMonitorService |
| Sqlwriter | Msmdsrv | Tomcat6 | Zhudongfangyu | SQLADHLP |
| Vmware-usbarbitator64 | Vmware-converter | Dbsrv12 | Dbeng8 | wxServer.exe |
| wxServerView | Sqlservr.exe | Sqlmangr.exe | RAgui.exe | Supervise.exe |
| Culture.exe | RTVscan.exe | Defwatch.exe | Sqlbrowser.exe | Winword.exe |
| QBW32.exe | Qbupdate.exe | QBCFMonitorService.exe | Axlbridge.exe | QBIDPService.exe |
| Httpd.exe | Fdlauncher.exe | MsDtSrvr.exe | Tomcat6.exe | Java.exe |
| 360se.exe | 360doctor.exe | Wdswfsafe.exe | Fdlauncher.exe | Fdhost.exe |
| GDscan.exe | ZhuDongFangyu.exe |
O ransomware ainda realiza a limpeza do Volume Shadow Copies, para que não possa ser realizado a restauração de arquivos, bem como remove os backups realizados com o serviço do Windows e desativa o reparo automático de inicialização do Windows utilizando os comandos:
vssadmin.exe Delete Shadows /All /Quiet
wmic.exe SHADOWCOPY /nointeractive
bcdedit.exe /set {default} recoveryenabled No
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
wbadmin DELETE SYSTEMSTATEBACKUP
wbadmin DELETE SYSTEMSTATEBACKUP -deleteOldest
O MedusaLocker iniciará o scaner de todas as unidades do dispositivo em busca de arquivos para criptografar. Ele não irá realizar a criptografia de arquivos com as extensões .exe, .dll, .sys, .ini, .lnk, .rdp, .encrypted (ou outra extensão usada para arquivos criptografados), bem como os arquivos se encontram armazenados nas pastas:
| USERPROFILE PROGRAMFILES(x86) ProgramData \AppData WINDIR \Application Data \Program Files \Users\All Users \Windows \intel \nvidia |
O Ransomware utilizará a criptografia AES para os arquivos e, em seguida, a chave AES será criptografada por uma chave pública RSA-2048, incluída no payload do ransomware.
Para cada arquivo encriptado será anexado algumas das extensões abaixo, tendo em vista que poderá variar de acordo com cada variante e versão:
| .encrypted .bomber .boroff .breakingbad .locker16 .newlock .nlocker .skynet |
Figura 1 – Arquivos criptografados pelo MedusaLocker.
Após a criptografia, o ransomware irá “dormir ou utilizar a função sleep” por aproximadamente 60 segundos e em seguida, irá verificar as unidades novamente em busca de novos arquivos para criptografar.
Quando executado, o ransomware se copia para o PATH: %UserProfile%\AppData\Roaming\svchostt.exe e cria uma tarefa agendada que inicia o programa a cada 30 minutos para permanecer persistente.
Em cada pasta que o arquivo é criptografado, o MedusaLocker criará uma nota de resgate chamada “HOW_TO_RECOVER_DATA.html” ou Readme.html” que contém as informações e endereços de e-mail para contato e instruções de pagamentos.
Figura 2 – Nota de resgate do MedusaLocker.
Logo, na época de sua identificação tratava-se de um ransomware altamente destrutivo, realizando diversas vítimas durante sua operação.
Ransomware Medusa
Com relação a amostra obtida do Ransomware Medusa, cuja operação se iniciou em 2021 foi possível verificar que até o momento existem apenas para o Sistema Operacional Windows.
O payload do ransomware é também configurável, ou seja, aceita determinados argumentos de linha de comando na qual o ator de ameaça poderá configurar quais são os arquivos que serão criptografados no dispositivo, conforme abaixo:
| Opções do Comando/Argumento | Descrição |
| -V | Obter a versão |
| -d | Não exclua a sua mesmo |
| -f | Excluir a pasta do sistema |
| -i | No caminho |
| -k | Caminho do arquivo chave |
| -n | Utilizar na Rede |
| -p | Não pré-processar (pré-processar = eliminar serviços e shadow copies) |
| -s | Excluir unidade do sistema |
| -t | Anote o caminho do arquivo |
| -v | Mostrar a janela do console |
| -w | Caminho do Powershell de execução inicial (powershell -executionpolicy bypass -File %s) |
Um exemplo é que se o argumento de linha de comando “-v” for utilizado ele fará com que o ransomware exiba um console mostrando mensagens de status enquanto criptografa um dispositivo.
Figura 3 – Console exibido pelo Ransomware Medusa.
Caso seja executado sem qualquer tipo de definição de argumentos de linha de comando, o Ransomware Medusa irá encerrar mais de 280 serviços e processos do Windows, os quais se estiverem em execução, prejudicarão a execução e criptografia do Ransomware.
O Ransomware ainda irá excluir as cópias de volume de sombras do Windows (shadow volume copies) para impedir que haja a restauração.
deletes shadow volume copies
vssadmin Delete Shadows /all /quiet
vssadmin resize shadowstorage /for=%s /on=%s /maxsize=unbounded
O algoritmo de criptografia foi identificado como utilizando a criptografia AES-256 + RSA-2048 através da biblioteca BCrypt. O método segundo pesquisadores é diferente do Ransomware Medusa.
Após a criptografia dos arquivos, o Ransomware adicionará a extensão “.MEDUSA” aos nomes dos arquivos criptografados.
Figura 4 – Arquivos criptografados pelo Medusa.
E, em cada pasta o ransomware irá criar uma pasta contendo uma nota de resgate chamada “!!!READ_ME_MEDUSA!!!.txt” que contém informações sobre o que aconteceu com os arquivos da vítima.
A nota de resgate também incluirá informações de contato da extensão, incluindo um site de vazamento de dados do Tor, um canal do Telegram, um Tox ID e o endereço de e-mail “key.medusa.serviceteam@protonmail.com”.
Figura 5 – Nota de Resgate do Ransomware Medusa.
Na etapa seguinte, com o intuito de impedir a restauração dos arquivos de backups, o ransomware Medusa irá executar o comando abaixo para excluir arquivos armazenados localmente associados a programas de backup, como o Windows Backup e também excluirá discos rígidos virtuais (VHD) utilizados por VMs.
del /s /f /q %s*.VHD %s*.bac %s*.bak %s*.wbcat %s*.bkf %sBackup*.* %sbackup*.* %s*.set %s*.win %s*.dskO Ransomware Medusa também possui um site de data leak na qual anunciam as empresas que foram vítimas, os quais ameaçam publicar os arquivos exfiltrados dos ambientes das vítimas.
Figura 6 – Captura do site de negociação e publicação de arquivos do Medusa.
Além da publicação, os atores de ameaças do Ransomware Medusa passaram a criar vídeos na plataforma Vimeo com o intuito de divulgar por completo os arquivos extraídos da vítima, utilizando-se até mesmo de uma vinheta na qual é possível visualizar que além do trabalho de criptografia (criação do ransomware) também possuem um certo “zelo” pela aparência das divulgações de vazamentos de dados.
Figura 7 – Introdução do vídeo de data leak do Medusa.
Medusa botnet
Recentemente, houve o retorno da nova versão do botnet Medusa DDoS (negação de serviço distribuída), o qual foi criado baseado no código fonte da botnet Mirai, apresentando um módulo de ransomware e um brute force Telnet.
O malware Medusa é uma variante de um malware antigo, sendo anunciado nos mercados da darknet desde 2015, adicionando-se recursos DDoS baseados em HTTP no ano de 2017.
A nova variante é uma continuação da antiga cepa de malware, e a sua versão mais recente encontrada em 2023 é baseada no código-fonte vazado do botnet Mirai, herdando seus recursos de segmentação do Linux e extensas opções de ataque DDoS.
Além disso, o malware é promovido como um MaaS (malware como serviço) para DDoS ou mineração por meio de um portal dedicado, prometendo estabilidade de serviço, anonimato do cliente, suporte, uma API fácil de usar e custo ajustável com base em necessidades específicas.
Figura 8 – Site e anúncio do MaaS do Medusa.
Outro fato observado é que a versão possui a função de Ransomware, permitindo pesquisar todos os diretórios em busca de tipos de arquivos válidos para criptografia. A análise foi apresentada pela Cyble a qual listou e apresentou os tipos de arquivos de destino, incluindo principalmente documentos e arquivos de desenho vetorial.
Figura 9 – Tipos de arquivos visados pelo Medusa.
Os arquivos válidos são criptografados usando criptografia AES-256 e a extensão “.medusastealer” é anexada ao nome dos arquivos criptografados.
Figura 10 – Função do ransomware do malware Medusa.
No entanto, o método de criptografia parece quebrado, transformando o ransomware em um wiper de dados. Após a criptografia dos arquivos nos dispositivos, o malware hiberna por 86.400 segundos (24 horas) e exclui todos os arquivos das unidades do sistema.
Somente após a exclusão dos arquivos, ele exibe uma nota de resgate que solicita o pagamento de 0,5 BTC, o que é contraintuitivo para uma tentativa de extorsão bem-sucedida.
Figura 11 – Nota de resgate de Medusa.
Os pesquisadores acreditam que se trata de um erro no código, pois a destruição das unidades do sistema impossibilita que as vítimas usem seus sistemas e leiam a nota de resgate. Esse bug, também indica que a nova variante da Medusa, ou pelo menos esse recurso, ainda está em desenvolvimento.
Além disso, nesta variante ela não rouba os arquivos do usuário antes da criptografia, em vez disso coleta as informações básicas do sistema que ajudam a identificar vítimas e estimar recursos que podem ser usados para mineração e ataques DDoS.
Figura 12 – Exfiltração de dados do sistema violado.
O malware também possui o brute force que testa nomes de usuários e senhas comumente utilizados em dispositivos conectados à Internet, então, se caso for bem-sucedido, ele tentará baixar um payload adicional que não foi possível recuperar e analisar.
Na sequência, o Malware Medusa executa o comando “zmap” para encontrar outros dispositivos com serviços Telnet em execução na porta 23 e tenta se conectar a eles utilizando os endereços IP recuperados e uma combinação de nomes de usuários e senhas.
Por fim, aos estabelecer uma conexão Telnet, o malware infecta o sistema com o payload útil primária do Medusa (“infection_medusa_stealer”).
Figura 13 – Função de ataque do Telnet.
O payload final do Medusa também tem suporte incompleto para receber comandos “FivemBackdoor” e “sshlogin”. Porém, isto poderá apresentar que o código ainda está em desenvolvimento contínuo.
Conclusão
Como observado, é possível verificar que o nome “Medusa” se encontra sendo utilizado por diversos grupos de malwares e ransomwares, os quais se apresentam como MedusaLocker, Ransomware Medusa ou o MaaS Medusa.
Com alto poder destrutivo, é observado que o Ransomware Medusa, por exemplo, está sendo utilizado amplamente para ataques a organizações globalmente, inclusive na América Latina, nos quais os resgates passam da casa de milhões!
Recomendações
Além dos indicadores de comprometimento elencados abaixo pela ISH, poderão ser adotadas medidas visando a mitigação da infecção do referido malware, como por exemplo:
- Realização de backups regulares: Armazene cópias de segurança de todos os dados importantes em um local seguro e desconectado.
- Realização de atualizações de softwares: Mantenha todos os softwares de ativos atualizados, incluindo sistemas operacionais e aplicativos.
- Utilização de proteção de rede, como firewalls, antivírus e outras medidas de segurança para proteger sua rede.
- Realização do trabalho de conscientização com os colaboradores, ensinando aos mesmos a reconhecer e evitar ameaças, como phishing e/ou clicar em links maliciosos.
- Monitoração regular da sua rede e sistemas para identificar e responder rapidamente a qualquer atividade suspeita.
Criação e aplicação de um plano de resposta de incidentes, sendo que em caso de ataques de ransomware poderão ser utilizados e conterão informações como questões relacionadas a backups e recuperação de sistema.
Indicadores de Comprometimento
A ISH Tecnologia realiza o tratamento de diversos indicadores de compromissos coletados por meio de fontes abertas, fechadas e também de análises realizadas pela equipe de segurança Heimdall. Diante disto, abaixo listamos todos os Indicadores de Compromissos (IOCs) relacionadas a análise do(s) artefato(s) deste relatório.
| Indicadores de compromisso de artefato malicioso/analisado | |
| md5: | 19ddac9782acd73f66c5fe040e86ddee |
| sha1: | 24ceba1e2951cde8e41939da21c6ba3030fc531d |
| sha256: | dde3c98b6a370fb8d1785f3134a76cb465cd663db20dffe011da57a4de37aa95 |
| File name: | svchostt.exe |
| Indicadores de compromisso de artefato malicioso/analisado | |
| md5: | 06ff220aea6c9e27fd1765f25b9e27fb |
| sha1: | fdf63523e9d0c27025d2df05de841e1079c974d4 |
| sha256: | 02d420c8ec7f6f944d053373e788f734b0a9a7b6c6d3bb07ade5a9728ed038af |
| File name: | svhost.exe |
| Indicadores de compromisso de artefato malicioso/analisado | |
| md5: | aa3684dd93b13628b626723bfe313dbc |
| sha1: | d2a08733f52ba0187dd43a45b7ea6953f69522bd |
| sha256: | 02f250a3df59dec575f26679ebd25de7c1d5b4d9d08016685f87a3628a393f92 |
| File name: | svchostt.exe |
| Indicadores de compromisso de artefato malicioso/analisado | |
| md5: | a80b79de02d6881d5e54afcefa38298a |
| sha1: | e0d3e2612a757ff5be818b114028a0e4bb562bc5 |
| sha256: | 033b4950a8f249b20eb86ec6f8f2ea0a1567bb164289d1aa7fb0ba51f9bbe46c |
| File name: | 64CO.exe |
| Indicadores de compromisso de artefato malicioso/analisado | |
| md5: | 87c5c72a57a08ca2f3bfac5485eb0fe6 |
| sha1: | 4d38a9aaa50bc35439054610bb45eb2298458404 |
| sha256: | 03df9dbf3fa35b88d948935e122a0217228ed7d1d3c892265791b55e38fae24c |
| File name: | Sh_1.8.2_2.exe |
| Indicadores de compromisso de artefato malicioso/analisado | ||
| md5: | c963b021bb8c55cacd4b830c67186232 | |
| sha1: | 58b69e090c23bbb16b656ee750f4e5a9aff246b2 | |
| sha256: | 03ebe8dc4828536fea08858fdfc3b53237eb514fe8cf6bc7134afb41b22f96a2 | |
| File name: | svhost.exe | |
| Indicadores de compromisso de artefato malicioso/analisado | ||
| md5: | da9d1a7d9a121cd33c22e22bc064ed80 | |
| sha1: | e612d668e95007c8991773e3a778411636dbd11c | |
| sha256: | 0432b4ad0f978dd765ac366f768108b78624dab8704e119181a746115c2bef75 | |
| Indicadores de compromisso de artefato malicioso/analisado | |
| md5: | 47d3b5d4e9a2ffb63b78c8a6a5dc5939 |
| sha1: | 5605157eae0ba33b13fe54745a68a9ceaa1e7216 |
| sha256: | 047afef95d0db82439c20da0bcd544af6d4b670f1417d7a4d51c940588d5e74c |
| Indicadores de compromisso de artefato malicioso/analisado | |
| md5: | 4660887b36d65e42b7d71d5e18187dfe |
| sha1: | 49ad1eecb9bbb8d736833006685b8c2c1300115b |
| sha256: | 05b51b5f41e483020d14126522a13c69b75e5cbb093a78980877bb60cf778873 |
| File name: | 64_MEcip3.exe |
| Indicadores de compromisso de artefato malicioso/analisado | |
| md5: | 776c3265856d049f8eba7b6e539328f7 |
| sha1: | ac4cb42d50b07a2ace5937d94e4f581ab6bbbf46 |
| sha256: | 0899dc78882197aa1fed57e1c76fc8bfac94475d58ea23722388de813ab6f65d |
| Indicadores de compromisso de artefato malicioso/analisado | |
| md5: | 7bd13614cc9bec4e996e315eefae7150 |
| sha1: | 00b0352233f29a8a9942a84c8dd9bf8cd44f72d4 |
| sha256: | 08bdbb7d507b7d9173b78ec8430882dac14a3c653cc41feb21bc2364f0e0b32f |
| Indicadores de compromisso de artefato malicioso/analisado | |
| md5: | a410f9ba08fd91c86da28a564852aa50 |
| sha1: | 55850587b950c6b9a07bf6f9a5e8b0dbadcb45be |
| sha256: | 08ce4d126715ecb4001d02e9eb1e10fb24c20b3a0c7ecc3a4170073caa93a44e |
| Indicadores de compromisso de artefato malicioso/analisado | |
| md5: | 0d2a9990e815349c4e6fa8573ccf5bda |
| sha1: | 52326d4bff0d80a045006f1a44de0e3a8f942557 |
| sha256: | 09198fa8250aef54bdc416ee2e223cc20bfcd88c5bec4aa29f815425e1744f26 |
| Indicadores de compromisso de artefato malicioso/analisado | |
| md5: | 50cb8959fad4a94b2c6927325e46306d |
| sha1: | 1db0f2a6e3415f49681ee56bba524e3ad4a3810e |
| sha256: | 0a82724cfb44769e69d75318b0868cd6de4aa789951362b3e86199e6c7922610 |
| File name: | svhost.exe |
| Indicadores de compromisso de artefato malicioso/analisado | |
| md5: | cc3652c078fa2bdfbbfae33335c30bda |
| sha1: | b3d3ad0c2c9d526717f55c431d51c2f1e957325b |
| sha256: | 0abb4a302819cdca6c9f56893ca2b52856b55a0aa68a3cb8bdcd55dcc1fad9ad |
| Indicadores de compromisso de artefato malicioso/analisado | |
| md5: | f8efb1d4be09451e1e5fdbdcc6c4e51e |
| sha1: | a74dd8e31ee3229fe076168f3bd0da941fd2b345 |
| sha256: | 0bad6382f3e3c8bf90f4a141b344154f8f70e31a98f354b8ac813b9fcdaf48f7 |
| Indicadores de compromisso de artefato malicioso/analisado | |
| md5: | 6fa0eba23d16066944fa81e1bd50ae2a |
| sha1: | c764db086d8f21e64aedb469f69f202af1b2c5a0 |
| sha256: | 0c840606112df18bfa06d58195a0ed43715c56899445d55f55bc3789fde14ed9 |
| Indicadores de compromisso de artefato malicioso/analisado | |
| md5: | e63e41e15e86489a98dbeb2e6cb44e8a |
| sha1: | 5815d349a375f5cdf090ababcff86b3946ed6c07 |
| sha256: | 0dd34e1326f18ab113be5ec91003577845f62ce25bbed8f92bff0b4077fe45da |
| File name: | 2.exe |
| Indicadores de compromisso de artefato malicioso/analisado | |
| md5: | 1a2f56aa0186b98dc77f5f493cd592b4 |
| sha1: | fbf4c6cc257bd31c9c1628e805ce85b14284713a |
| sha256: | 0f3bc144689b4ba5a96b87f8ada895b0c7a283e72aa9c533d63d6959138ca531 |
| Indicadores de compromisso de artefato malicioso/analisado | |
| md5: | ec931ad8f9d14cb56ba08f53ecd06899 |
| sha1: | 1e0fefc24d52ea727a0cca157d71389744cad726 |
| sha256: | 0f58037bc1571e77b4d542ea7dbd91ffd1ea4c0d09898f78d679b1ed08fb51d7 |
| Indicadores de compromisso de artefato malicioso/analisado | |
| md5: | 6701070c21d3c6487c3e6291f2f0f1c9 |
| sha1: | 7219f91bd5fb94128159d18956e1bd9132bf10e0 |
| sha256: | 104ffe0cc10413b8c3dd04fdc921f07c3cc55efba9a63ccdccf45e4012151c5f |
| File name: | svchostt.exe |
| Indicadores de compromisso de artefato malicioso/analisado | |
| md5: | ed64d941fd8603196c0e31ae58c1992d |
| sha1: | 54c67bb062d73ae9fabf5f0e1e2136e05cb6e69b |
| sha256: | 2491bb75c8a3d3b8728ab46a933cd81f8176c1f9d7292faeecea67d71ce87b5c |
| File name: | medusa_stealer.x86 |
| Indicadores de compromisso de artefato malicioso/analisado | |
| md5: | e3a08ffb7106ece9612d3aa8078a8287 |
| sha1: | c059eec897c48b81cfc6a6765e176cc88231c31e |
| sha256: | 87b5ba7da8aa64721baca0421a01e01bb1f1ca8a2f73daa3ca2f5857e353c182 |
| File name: | medusa_stealer.sh |
| Indicadores de compromisso de artefato malicioso/analisado | |
| md5: | 336674857b5ede1e09daeff1a14adedc |
| sha1: | 088332f4ff6b6a12f094a429d6f60ec500d3d85b |
| sha256: | 2f2759b5933f06c9fdbc87ea941e8ef53ea0e3b715afd57de52ed2927d197c33 |
| File name: | clientv2.py |
| Indicadores de compromisso de artefato malicioso/analisado | |
| md5: | ed24c7c0b73887e35f1c12ab0dda98fe |
| sha1: | dc6ea04feb31eb9539f577d7965d0fb925dd7e52 |
| sha256: | bce94b214a6bae00b03ada34c66210d9143895d6c0be9e21c10e9951cc469fbf |
| File name: | clientv2.py |
| Indicadores de compromisso de artefato malicioso/analisado | |
| md5: | 14655930fab2319ff9cd5187a0caa242 |
| sha1: | 3bcbc498de18d91a1d05e428fa94e4145959fbd2 |
| sha256: | 48f5f09ddd7089a9397d26e219eb1a1a937c3238f7ecdc7cdfc5383141d77ad9 |
| File name: | clientv2.py |
| Indicadores de compromisso de artefato malicioso/analisado | |
| md5: | 1eee2293e51b01300c75b649715e472d |
| sha1: | b2134b18e827402378da09a8dcd9da92509e8131 |
| sha256: | 5799ee35a334f839bb666a0136ca2615390d0b7fb6a14875bafbfab3414045e9 |
| File name: | clientv2.py |
URLs de distribuição e endereços IP C2:
sambolero@tutanoa.com |
rightcheck@cock.li |
| hxxp://45.145.167[.]117/medusa_stealer.sh |
| medusa-stealer[.]cc |
Obs: Os links e endereços de IP elencados acima podem estar ativos; cuidado ao realizar a manipulação dos referidos IoCs, evite realizar o clique e se tornar vítima do conteúdo malicioso hospedado no IoC.
Referências
- Heimdall by ISH Tecnologia
- Informações sobre o MedusaLocker, Bleeping Computer
- Informações sobre o Ransomware Medusa, Bleeping Computer
- Medusa Botnet baseado no Mirai, Cyble