Medusa: nuova versione della botnet con ransomware

Medusa: nuova versione della botnet con ransomware

Una nuova versione della botnet Medusa, basata sul codice di Mirai, include un modulo ransomware che applica la crittografia AES a 256 bit.
Una nuova versione della botnet Medusa, basata sul codice di Mirai, include un modulo ransomware che applica la crittografia AES a 256 bit.

I ricercatori di Cyble hanno scoperto una nuova versione della botnet Medusa, basata sul codice di Mirai, utilizzata per effettuare anche attacchi Telnet e ransomware. Ovviamente la principale funzionalità rimane quella di prendere il controllo dei dispositivi per eseguire i tradizionali attacchi DDoS (Distributed Denial of Service).

Medusa: DDoS, info-stealer e ransomware

Medusa è attiva dal 2015. La nuova versione è basata sul codice della botnet Mirai pubblicato online, ereditando la sua funzionalità principale, ovvero quella di installare un client sui prodotti con sistema operativo Linux, tra cui router, videocamere IP e altri dispositivi IoT. Dopo aver preso il controllo, i cybercriminali effettuano attacchi DDoS o il download di malware aggiuntivi.

Medusa viene ora offerta come MaaS (Malware-as-a-Service) attraverso un portale dedicato. Il nuovo modulo ransomware effettua la ricerca dei file da cifrare e applica l’algoritmo AES a 256 bit, aggiungendo l’estensione .medusastealer al nome del file. Il ransomware “dorme” per 24 ore, quindi si sveglia e cancella tutti i file. Al termine mostra un testo con le istruzioni per pagare il riscatto da 0,5 Bitcoin. È evidente l’errore di programmazione, visto che il messaggio doveva essere mostrato prima della cancellazione o se la vittima non paga entro una certa scadenza.

Medusa include anche un modulo info-stealer che cerca di trovare username e password attraverso una connessione Telnet e un attacco di forza bruta. Questa operazione avrà successo se l’utente ha lasciato le credenziali predefinite (admin, root, guest e simili). Infine, la botnet può ricevere comandi per l’accesso tramite backdoor o SSH, ma il codice è incompleto.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione. Le offerte potrebbero subire variazioni di prezzo dopo la pubblicazione.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 9 feb 2023
Link copiato negli appunti