I ricercatori di Cyble hanno scoperto una nuova versione della botnet Medusa, basata sul codice di Mirai, utilizzata per effettuare anche attacchi Telnet e ransomware. Ovviamente la principale funzionalità rimane quella di prendere il controllo dei dispositivi per eseguire i tradizionali attacchi DDoS (Distributed Denial of Service).
Medusa: DDoS, info-stealer e ransomware
Medusa è attiva dal 2015. La nuova versione è basata sul codice della botnet Mirai pubblicato online, ereditando la sua funzionalità principale, ovvero quella di installare un client sui prodotti con sistema operativo Linux, tra cui router, videocamere IP e altri dispositivi IoT. Dopo aver preso il controllo, i cybercriminali effettuano attacchi DDoS o il download di malware aggiuntivi.
Medusa viene ora offerta come MaaS (Malware-as-a-Service) attraverso un portale dedicato. Il nuovo modulo ransomware effettua la ricerca dei file da cifrare e applica l’algoritmo AES a 256 bit, aggiungendo l’estensione .medusastealer al nome del file. Il ransomware “dorme” per 24 ore, quindi si sveglia e cancella tutti i file. Al termine mostra un testo con le istruzioni per pagare il riscatto da 0,5 Bitcoin. È evidente l’errore di programmazione, visto che il messaggio doveva essere mostrato prima della cancellazione o se la vittima non paga entro una certa scadenza.
Medusa include anche un modulo info-stealer che cerca di trovare username e password attraverso una connessione Telnet e un attacco di forza bruta. Questa operazione avrà successo se l’utente ha lasciato le credenziali predefinite (admin, root, guest e simili). Infine, la botnet può ricevere comandi per l’accesso tramite backdoor o SSH, ma il codice è incompleto.
Ti potrebbe interessare
9 feb 2023