Operasi ransomware yang dikenal sebagai Medusa telah mulai meningkat pada tahun 2023, menargetkan korban perusahaan di seluruh dunia dengan permintaan tebusan jutaan dolar.
Operasi Medusa dimulai pada Juni 2021 tetapi aktivitasnya relatif rendah, dengan sedikit korban. Namun, pada tahun 2023 geng ransomware meningkat aktivitasnya dan meluncurkan ‘Blog Medusa’ yang digunakan untuk membocorkan data korban yang menolak membayar uang tebusan.
Medusa mendapat perhatian media minggu ini setelah mereka mengaku bertanggung jawab atas sebuah serangan di distrik Minneapolis Public Schools (MPS). dan membagikan video data yang dicuri.
Bisakah Medusa yang asli berdiri?
Banyak keluarga malware menyebut diri mereka Medusa, termasuk a Botnet berbasis Mirai dengan kemampuan ransomware, a Malware Android Medusadan dikenal luas Operasi ransomware MedusaLocker.
Karena nama yang umum digunakan, ada beberapa laporan yang membingungkan tentang keluarga ransomware ini, dengan banyak yang mengira itu sama dengan MedusaLocker.
Namun, operasi ransomware Medusa dan MedusaLocker sama sekali berbeda.
Operasi MedusaLocker diluncurkan pada 2019 sebagai Ransomware-as-a-Service, dengan banyak afiliasi, catatan tebusan yang biasa disebut How_to_back_files.htmldan berbagai macam ekstensi file untuk file terenkripsi.
Operasi MedusaLocker menggunakan situs web Tor di qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion untuk negosiasi.
Namun, operasi ransomware Medusa diluncurkan sekitar Juni 2021 dan telah menggunakan catatan tebusan bernama !!!READ_ME_MEDUSA!!!.txt dan ekstensi file terenkripsi statis dari .MEDUSA.
Operasi Medusa juga menggunakan situs web Tor untuk negosiasi tebusan, namun situs mereka terletak di medusacegu2ufmc3kx2kkqicrlcxdettsjcenhjena6uannk5f4ffuyd.onion.
Bagaimana Medusa mengenkripsi perangkat Windows
BleepingComputer hanya dapat menganalisis enkripsi Medusa untuk Windows, dan tidak diketahui apakah mereka memilikinya untuk Linux saat ini.
Enkripsi Windows akan menerima opsi baris perintah yang memungkinkan aktor ancaman mengonfigurasi cara file dienkripsi pada perangkat, seperti yang ditunjukkan di bawah ini.
# Command Line
Option | Description
---------------------
-V | Get version
-d | Do not delete self
-f | Exclude system folder
-i | In path
-k | Key file path
-n | Use network
-p | Do not preprocess (preprocess = kill services and shadow copies)
-s | Exclude system drive
-t | Note file path
-v | Show console window
-w | Initial run powershell path (powershell -executionpolicy bypass -File %s)
Misalnya, argumen baris perintah -v akan menyebabkan ransomware menampilkan konsol, menampilkan pesan status saat mengenkripsi perangkat.
Sumber: BleepingComputer
Dalam proses reguler, tanpa argumen baris perintah, ransomware Medusa akan menghentikan lebih dari 280 layanan dan proses Windows untuk program yang dapat mencegah file dienkripsi. Ini termasuk layanan Windows untuk server email, server basis data, server cadangan, dan perangkat lunak keamanan.
Ransomware kemudian akan menghapus Windows Shadow Volume Copies untuk mencegahnya digunakan untuk memulihkan file.
deletes shadow volume copies
vssadmin Delete Shadows /all /quiet
vssadmin resize shadowstorage /for=%s /on=%s /maxsize=unbounded
Pakar ransomware Michael Gillespie juga menganalisis encryptor dan memberi tahu BleepingComputer bahwa ia mengenkripsi file menggunakan enkripsi AES-256 + RSA-2048 menggunakan pustaka BCrypt.
Gillespie lebih lanjut menegaskan bahwa metode enkripsi yang digunakan di Medusa berbeda dengan yang digunakan di MedusaLocker.
Saat mengenkripsi file, ransomware akan menambahkan file .MEDUSA ekstensi ke nama file terenkripsi, seperti yang ditunjukkan di bawah ini. Misalnya, 1.doc akan dienkripsi dan diganti namanya menjadi 1.doc.MEDUSA.
Sumber: BleepingComputer
Di setiap folder, ransomware akan membuat catatan tebusan bernama !!!READ_ME_MEDUSA!!!.txt yang berisi informasi tentang apa yang terjadi pada file korban.
Catatan tebusan juga akan menyertakan informasi kontak ekstensi, termasuk situs kebocoran data Tor, situs negosiasi Tor, saluran Telegram, ID Tox, dan alamat email key.medusa.serviceteam@protonmail.com.
Situs negosiasi Tor ada di http://medusacegu2ufmc3kx2kkqicrlcxdettsjcenhjena6uannk5f4ffuyd.onion.
Sumber: BleepingComputer
Sebagai langkah ekstra untuk mencegah pemulihan file dari cadangan, ransomware Medusa akan menjalankan perintah berikut untuk menghapus file yang disimpan secara lokal yang terkait dengan program cadangan, seperti Pencadangan Windows. Perintah ini juga akan menghapus hard disk virtual (VHD) yang digunakan oleh mesin virtual.
del /s /f /q %s*.VHD %s*.bac %s*.bak %s*.wbcat %s*.bkf %sBackup*.* %sbackup*.* %s*.set %s*.win %s*.dsk
Situs negosiasi Tor menyebut dirinya “Obrolan Aman”, di mana setiap korban memiliki ID unik yang dapat digunakan untuk berkomunikasi dengan geng ransomware.
Sumber: BleepingComputer
Seperti kebanyakan operasi ransomware penargetan perusahaan, Medusa memiliki situs kebocoran data bernama ‘Medusa Blog.’ Situs ini digunakan sebagai bagian dari strategi pemerasan ganda geng, di mana mereka membocorkan data korban yang menolak membayar uang tebusan.
Sumber: BleepingComputer
Ketika seorang korban ditambahkan ke kebocoran data, datanya tidak segera dipublikasikan. Sebaliknya, pelaku ancaman memberikan opsi berbayar kepada korban untuk memperpanjang hitungan mundur sebelum data dirilis, menghapus data, atau mengunduh semua data. Masing-masing opsi ini memiliki harga yang berbeda, seperti yang ditunjukkan di bawah ini.
Sumber: BleepingComputer
Ketiga opsi ini dilakukan untuk memberikan tekanan ekstra pada korban untuk menakut-nakuti mereka agar membayar uang tebusan.
Sayangnya, tidak ada kelemahan yang diketahui dalam enkripsi Medusa Ransomware yang memungkinkan korban memulihkan file mereka secara gratis.
Peneliti akan terus menganalisis encryptor, dan jika ditemukan kelemahan, kami akan melaporkannya di BleepingComputer.
