导语:2023年,一个名为Medusa的勒索软件团伙开始进行了大范围的攻击。它们的目标是全球的企业,并要求其支付百万美元的赎金。
从2021年6月开始,关于美杜莎团伙,只看到了少量的受害者和一些低水平的攻击活动。然而,这个勒索软件团伙在2023年加大了行动力度,并建立了一个 "美杜莎博客",威胁拒绝支付赎金的受害者要对外泄露他们的数据。
上周,Medusa声称对明尼阿波利斯公立学校(MPS)区的攻击负责,并分享了一段被盗数据的视频后,受到了公众的广泛关注。
关于美杜莎的介绍
Medusa是几个恶意软件家族的名字,这其中包括著名的MedusaLocker勒索软件家族,一个Android恶意软件家族,以及一个基于Mirai的具有勒索软件功能的僵尸网络。
由于该家族的名字一直被广泛使用,而且关于它的信息也一直很模糊,导致许多人认为它与MedusaLocker相同。然而,Medusa和MedusaLocker恶意软件之间存在着明显的差异。
MedusaLocker在2019年作为赎金软件即服务首次亮相,它攻击了大量的机构,赎金说明文件通常是How_to_back_files.html,这其中还包括一些加密文件。
关于赎金的谈判,MedusaLocker使用了一个Tor网站qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion。
然而,.MEDUSA静态加密文件扩展名和!!!READ_ME_MEDUSA!!!.txt赎金说明自2021年6月启动以来,就一直被Medusa勒索软件团伙所使用。
使用Windows程序来加密数据
目前,不知道安全专家是否针对Linux的Medusa加密程序进行了分析;目前只知道他们分析了Windows版本。Windows加密器可以接受命令行参数,让威胁行为者控制系统中文件加密设置。例如,如果使用-v命令行参数,该勒索软件将显示一个控制台,并在加密设备时显示状态信息。
美杜莎勒索软件会终止280多个可能阻止文件被定期加密的Windows服务和进程。数据库服务器、备份服务器和安全应用程序的Windows服务都在其中。然后,为了防止文件被轻易恢复,勒索软件将会删除Windows影子卷副本。
勒索软件专家Michael Gillespie也检查了这个加密器,并向媒体透露,它使用了BCrypt库的AES-256 + RSA-2048加密方式来加密文件。
像大多数针对企业的勒索软件一样,Medusa的特点是建立了一个名为 "Medusa博客 "的网站,攻击者主要从这里泄露数据。这个网站的搭建也是该团伙双重勒索计划的一部分,拒绝支付赎金的受害者,那么就会对外公开他们的数据。
当攻击者决定对外公开受害者的数据时,他们的数据并不会立即被公开。还有另外的一种选择,威胁者还会向受害者提供各种付款选择,以推迟数据的发布,数据的删除,或下载整个数据集。每种选择的成本都不同。
要求赎金是为了增加受害者内心的压力,威胁他们尽快支付赎金。但是遗憾的是,在Medusa Ransomware的加密程序中并没有找到任何漏洞,允许受害者在不付费的情况下恢复其系统的文件。
本文翻译自:https://www.cysecurity.news/2023/03/targeting-businesses-globally-medusa.html如若转载,请注明原文地址