Botnet Medusa retorna como variante baseada no Mirai DDoS

Da Redação
07/02/2023

Uma nova versão da botnet Medusa DDoS, baseada no código da botnet de ataque distribuído de negação de serviço Mirai, foi descoberta, apresentando um módulo de ransomware e um de força bruta Telnet.

A Medusa, na verdade, é uma variante de malware antiga — não confundir com o trojan Android de mesmo nome — e vem sendo anunciada nos mercados da darknet desde 2015, que em 2017 adicionou recursos DDoS baseados em HTTP.

A Cyble, que descobriu essa nova variante, diz que ela é a continuação de uma cepa antiga de malware. Sua versão mais recente é baseada no código-fonte vazado da botnet Mirai, da qual herdou os recursos de segmentação do Linux e extensas opções de ataque DDoS.

Além disso, a Medusa agora é promovida como um MaaS (malware como serviço) para DDoS ou mineração de criptomoedas por meio de um portal dedicado. O grupo que opera a ameaça promete estabilidade de serviço, anonimato do cliente, suporte, uma API fácil de usar e custo ajustável com base em necessidades específicas.

O que é particularmente “interessante” nesaa nova variante é uma função de ransomware que permite pesquisar todos os diretórios em busca de tipos de arquivo válidos para criptografia. A lista de tipos de arquivos de destino inclui principalmente documentos e arquivos de desenho vetorial.

Os arquivos válidos são criptografados usando criptografia AES de 256 bits e a extensão .medusastealer é anexada ao nome dos arquivos criptografados. No entanto, o método de criptografia parece quebrado, transformando o ransomware em um limpador de dados. Depois de criptografar os arquivos no dispositivo, o malware hiberna por 86.400 segundos (24 horas) e exclui todos os arquivos das unidades do sistema.

Somente após a exclusão dos arquivos, ele exibe uma nota de resgate que solicita o pagamento de 0,5 BTC (cerca de US$ 11.400), o que é contra-intuitivo para uma tentativa de extorsão bem-sucedida.

A Cyble acredita que se trata de um erro no código, pois a destruição das unidades do sistema impossibilita que as vítimas usem seus sistemas e leiam a nota de resgate. Esse bug também indica que a nova variante da Medusa, ou pelo menos esse recurso, ainda está em desenvolvimento.

Vale a pena notar que, embora a nova versão apresente uma ferramenta de exfiltração de dados, ela não rouba os arquivos do usuário antes da criptografia. Em vez disso, ela se concentra na coleta de informações básicas do sistema que ajudam a identificar vítimas e estimar recursos que podem ser usados para mineração e ataques DDoS.

Veja isso
Google vence processo contra operadores da botnet Glupteba
80 mil câmeras Hikvision prontas para entrar em botnets

A Medusa também possui um módulo de força bruta que testa nomes de usuários e senhas comumente usados em dispositivos conectados à internet. Então, se bem-sucedido, ela tenta baixar uma carga útil adicional que o Cyble não conseguiu recuperar e analisar. Em seguida, executa o comando “zmap” para encontrar outros dispositivos com serviços Telnet em execução na porta 23 e tenta se conectar a eles usando os endereços IP recuperados e uma combinação de nomes de usuário e senhas.

Por fim, ao estabelecer uma conexão Telnet, o malware infecta o sistema com a carga útil primária da Medusa (“infection_medusa_stealer”). A carga útil final também tem suporte incompleto para receber os comandos “FivemBackdoor” e “sshlogin”. No entanto, o código correspondente ainda não está presente no arquivo Python do cliente, o que é outro sinal de seu desenvolvimento contínuo.

Compartilhar: