Una banda de ransomware conocida como Medusa comenzó a cobrar fuerza en 2023. Medusa está apuntando a víctimas corporativas en todo el mundo con demandas de rescate de millones de dólares.

La operación Medusa comenzó en junio de 2021 pero tuvo una actividad relativamente baja, con pocas víctimas. Sin embargo, en 2023, la banda de ransomware aumentó su actividad y lanzó un ‘Blog de Medusa’ que se utiliza para filtrar datos de las víctimas que se negaron a pagar un rescate.

Medusa ganó la atención de los medios esta semana después de que se atribuyó la responsabilidad de un ataque en el distrito de las Escuelas Públicas de Minneapolis (MPS)  y compartió un video de los datos robados.

¿Conoceremos a la verdadera Medusa?

Muchas familias de malware se hacen llamar Medusa, incluida una  botnet basada en Mirai con capacidades de ransomware, un malware para Android llamado Medusa y la  operación de ransomware ampliamente conocida MedusaLocker.

Debido al nombre de uso común, ha habido algunos informes confusos sobre esta familia de ransomware, y muchos piensan que es lo mismo que MedusaLocker.

Sin embargo, las operaciones de ransomware Medusa y MedusaLocker son completamente diferentes. 

La operación MedusaLocker se lanzó en 2019 como ransomware como servicio, con numerosos afiliados, una nota de rescate comúnmente llamada How_to_back_files.html y una amplia variedad de extensiones de archivo para archivos cifrados.

La operación MedusaLocker utiliza un sitio web de Tor en la siguiente dirección: qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion. El sitio sirve para las negociaciones.

Sin embargo, la operación de ransomware Medusa se lanzó alrededor de junio de 2021 y ha estado usando una nota de rescate llamada  !!!READ_ME_MEDUSA!!!.txt y una extensión de archivo cifrado estático .MEDUSA.

La operación Medusa también utiliza un sitio web de Tor para las negociaciones de rescate, pero el suyo se encuentra en medusacegu2ufmc3kx2kkqicrlcxdettsjcenhjena6uannk5f4ffuyd.onion.

Cómo cifra Medusa los dispositivos Windows

Investigadores han podido analizar el cifrador de Medusa para Windows, y no saben si tiene uno para Linux en este momento.

El cifrador de Windows acepta opciones de línea de comandos que permiten al atacante configurar cómo se cifrarán los archivos en el dispositivo, como se muestra a continuación.

# Command Line
Option	| Description
---------------------
-V	| Get version
-d	| Do not delete self
-f	| Exclude system folder
-i	| In path
-k	| Key file path
-n	| Use network
-p	| Do not preprocess (preprocess = kill services and shadow copies)
-s	| Exclude system drive
-t	| Note file path
-v 	| Show console window
-w	| Initial run powershell path (powershell -executionpolicy bypass -File %s)

Por ejemplo, el argumento de línea de comando -v hará que el ransomware muestre una consola, mostrando mensajes de estado mientras cifra un dispositivo.

1678899823 982 Esta nueva banda de ransomware esta atacando empresas en todo.webp ITB BARQUISIMETO 03/03/2024
Ventana de la consola del ransomware Medusa

Finalización de procesos 

En una ejecución regular, sin argumentos en la línea de comandos, el ransomware Medusa finaliza más de 280 servicios y procesos de Windows para programas que pueden evitar que los archivos se cifren. Estos incluyen servicios de Windows para servidores de correo, servidores de bases de datos, servidores de respaldo y software de seguridad.

El ransomware elimina las instantáneas de volumen de Windows para evitar que se  utilicen para recuperar archivos.

deletes shadow volume copies
vssadmin Delete Shadows /all /quiet
vssadmin resize shadowstorage /for=%s /on=%s /maxsize=unbounded

El experto en ransomware  Michael Gillespie  también analizó el cifrador y dijo que encripta archivos usando cifrado AES-256 + RSA-2048 usando la biblioteca BCrypt.

Gillespie confirmó además que el método de cifrado utilizado en Medusa es diferente al utilizado en MedusaLocker.

Al cifrar archivos, el ransomware agrega la  extensión .MEDUSA  a los nombres de archivos cifrados, como se muestra a continuación. Por ejemplo, 1.doc se cifraría y cambiaría de nombre a 1.doc.MEDUSA.

1678899823 773 Esta nueva banda de ransomware esta atacando empresas en todo.webp ITB BARQUISIMETO 03/03/2024
Archivos cifrados por Medusa Ransomware

En cada carpeta, el ransomware crea una nota de rescate llamada  !!!READ_ME_MEDUSA!!!.txt que contiene información sobre lo que sucedió con los archivos de la víctima.

La nota de rescate también incluye información de contacto de la extensión, incluido un sitio de filtración de datos de Tor, un sitio de negociación de Tor, un canal de Telegram, una identificación de Tox y la dirección de correo electrónico [email protected]

El sitio de negociación de Tor está ubicado en http://medusacegu2ufmc3kx2kkqicrlcxdettsjcenhjena6uannk5f4ffuyd.onion.

1678899824 675 Esta nueva banda de ransomware esta atacando empresas en todo.webp ITB BARQUISIMETO 03/03/2024
Nota de rescate del Ransomware Medusa

Como un paso adicional para evitar la restauración de archivos a partir de copias de seguridad, el ransomware Medusa ejecuta el siguiente comando para eliminar archivos almacenados localmente asociados con programas de copia de seguridad, como Copia de seguridad de Windows. Este comando también elimina las unidades de disco duro virtuales (VHD) utilizadas por las máquinas virtuales.

del /s /f /q %s*.VHD %s*.bac %s*.bak %s*.wbcat %s*.bkf %sBackup*.* %sbackup*.* %s*.set %s*.win %s*.dsk

Medios para negociar

El sitio de negociación de Tor se llama a sí mismo “Secure Chat”, donde cada víctima tiene una identificación única que puede usarse para comunicarse con la banda de ransomware.

1678899824 291 Esta nueva banda de ransomware esta atacando empresas en todo.webp ITB BARQUISIMETO 03/03/2024
Sitio de negociación Secure Chat de Medusa

Como la mayoría de las bandas de ransomware dirigidas a empresas, Medusa tiene un sitio de filtración de datos llamado “Blog de Medusa”. Este sitio se usa como parte de la estrategia de doble extorsión de la banda, donde filtran datos de las víctimas que se niegan a pagar un rescate.

1678899825 97 Esta nueva banda de ransomware esta atacando empresas en todo.webp ITB BARQUISIMETO 03/03/2024
Sitio de negociación Secure Chat de Medusa

Cuando se agrega una víctima al sitio de filtración de datos, sus datos no se publican de inmediato. En cambio, los atacantes les dan a las víctimas opciones de pago para extender la cuenta regresiva antes de que se publiquen los datos, eliminar los datos o descargar todos los datos. Cada una de estas opciones tiene diferentes precios, como se muestra a continuación.

1678899825 13 Esta nueva banda de ransomware esta atacando empresas en todo.webp ITB BARQUISIMETO 03/03/2024
Opciones de filtración de datos

Estas tres opciones se realizan para aplicar una presión adicional sobre la víctima y asustarla para que pague un rescate.

Desafortunadamente, no hay ninguna debilidad conocida en el cifrado del ransomware Medusa que permita a las víctimas recuperar sus archivos de forma gratuita.

Los investigadores continuarán analizando el cifrador y, si se encuentra una debilidad, la reportaremos aquí.



Noticia Confirmada

Leer más aquí


0 comentarios

Deja una respuesta

Marcador de posición del avatar

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Información básica sobre protección de datos Ver más

  • Responsable: ITB BARQUISIMETO.
  • Finalidad:  Moderar los comentarios.
  • Legitimación:  Por consentimiento del interesado.
  • Destinatarios y encargados de tratamiento: No se ceden o comunican datos a terceros para prestar este servicio.
  • Derechos: Acceder, rectificar y suprimir los datos.
  • Información Adicional: Puede consultar la información detallada en la Política de Privacidad.