تحلیل ساختار پیچیده عملکرد باج‌افزار مدوسا در پی حملات جهانی به شرکت‌ها

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir medusa ransomware gang picks up steam as it targets companies worldwide 1
یک عملیات باج‌افزاری معروف به مدوسا (Medusa) در سال 2023 شروع به جمع‌آوری اطلاعات کرده و قربانیانش که شرکت‌های بزرگ در سراسر جهان هستن را با درخواست باج‌های چند میلیون دلاری، هدف قرار داده است.

عملیات مدوسا در ژوئن 2021 آغاز شد اما فعالیت نسبتا کمی داشت و قربانیان اندکی را در بر میگرفت. با‌این‌حال، در سال 2023، باند باج‌افزاری فعالیت خود را افزایش داد و «وبلاگ مدوسا» را راه‌اندازی کرد که برای افشای اطلاعات قربانیانی که از پرداخت باج امتناع می‌کردند، استفاده می‌کرد.

مدوسا این هفته پس‌از‌آن که مسئولیت حمله به منطقه مدارس دولتی مینیاپولیس (MPS) را بر عهده گرفت و ویدئویی از داده‌های سرقت شده را به اشتراک گذاشت، توجه رسانه‌ها را به خود جلب کرد.

آیا دست مدوسای واقعی در کار است؟
بسیاری از خانواده‌های بدافزار خود را مدوسا می‌نامند، از‌جمله بات‌نت مبتنی بر Mirai با قابلیت‌های باج‌افزار، بدافزار Android Medusa و عملیات باج‌افزار MedusaLocker که به طور گسترده‌ای شناخته شده‌اند.

با توجه به نام رایج این بدافزار، گزارش‌های گمراه‌کننده‌ای در مورد این خانواده باج‌افزار منتشر شده است، به طوری که بسیاری فکر می‌کنند که همگی، همان MedusaLocker است.

با‌این‌حال، عملیات باج افزار Medusa و MedusaLocker کاملا متفاوت است.

عملیات MedusaLocker در سال 2019 به‌عنوان یک Ransomware-as-a-Service، با شرکت‌های وابسته متعدد، یک یادداشت باج به نام How_to_back_files.html و طیف گسترده‌ای از پسوند‌های فایل برای فایل‌های رمزگذاری‌شده، راه‌اندازی شد.

عملیات MedusaLocker از یک وب‌سایت Tor به آدرس qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion برای مذاکره استفاده می‌کند.

با‌این‌حال، عملیات باج‌افزار مدوسا در ژوئن 2021 راه‌اندازی شد و از یک یادداشت باج به نام !!!READ_ME_MEDUSA!!!.txt و پسوند فایل رمزگذاری‌شده استاتیک MEDUSA. استفاده می‌کرد.

عملیات مدوسا همچنین از یک وب‌سایت Tor برای مذاکرات باج استفاده می‌کند، اما وب‌سایت آنها در medusacegu2ufmc3kx2kkqicrlcxdettsjcenhjena6uannk5f4ffuyd.onion قرار دارد.

چگونه مدوسا دستگاه‌های ویندوز را رمزگذاری می‌کند؟
بلیپینگ‌کامپیوتر فقط توانسته است رمزگذار مدوسا را برای ویندوز تجزیه‌و‌تحلیل کند، و مشخص نیست که آیا آنها در حال حاضر رمز‌نگاری برای لینوکس را در دستور کار دارند یا خیر.

رمزگذار ویندوز گزینه‌های کامندلاین را می‌پذیرد که به عامل تهدید اجازه می‌دهد تا نحوه رمزگذاری فایل‌ها در دستگاه را، همانطور که در زیر نشان داده شده، پیکربندی کند.

takian.ir medusa ransomware gang picks up steam as it targets companies worldwide 2
‌به‌عنوان مثال، آرگومان کامندلاین -v باعث می‌شود باج‌افزار یک کنسول را نمایش دهد و پیام‌های وضعیت را هنگام رمزگذاری دستگاه، نشان دهد.

takian.ir medusa ransomware gang picks up steam as it targets companies worldwide 3
‌در یک اجرای معمولی، بدون آرگومان‌های کامندلاین، باج افزار مدوسا بیش از 280 سرویس و فرآیند ویندوز را برای برنامه‌هایی که ممکن است مانع از رمزگذاری فایل‌ها شوند، متوقف می‌کند. اینها شامل خدمات ویندوز برای سرور‌های میل، سرور‌های پایگاه داده، سرور‌های پشتیبان و نرم‌افزار‌های امنیتی است.

سپس باج افزار کپی‌های حجمی شادو ویندوز را حذف می‌کند تا از استفاده از آنها برای بازیابی فایل‌ها جلوگیری نماید.

takian.ir medusa ransomware gang picks up steam as it targets companies worldwide 4
‌مایکل گیلسپی، کارشناس باج افزار نیز رمزگذار را تجزیه‌و‌تحلیل کرد و گفت که فایل‌ها را با استفاده از رمزگذاری AES-256 + RSA-2048 با استفاده از لایبرری BCrypt رمزگذاری می‌کنند.

گیلسپی همچنین تایید کرد که روش رمزگذاری مورد استفاده در مدوسا با روشی که در MedusaLocker استفاده می‌شود، متفاوت است.

هنگام رمزگذاری فایل‌ها، باج‌افزار پسوند MEDUSA. را به نام فایل‌های رمزگذاری‌شده اضافه می‌کند، همانطور که در زیر نشان داده شده است. برای مثال، 1.doc رمزگذاری شده و به 1.doc.MEDUSA تغییر نام داده می‌شود.

takian.ir medusa ransomware gang picks up steam as it targets companies worldwide 5
‌در هر پوشه، باج افزار یک یادداشت باج به نام !!!READ_ME_MEDUSA!!!.txt ایجاد می‌کند که حاوی اطلاعاتی درباره اتفاقاتی است که برای فایل‌های قربانی رخ داده است.

یادداشت باج همچنین شامل اطلاعات تماس داخلی، از‌جمله سایت نشت داده Tor، سایت مذاکره Tor، کانال تلگرام، شناسه Tox و آدرس ایمیل key.medusa.serviceteam@protonmail.com خواهد بود.

سایت مذاکره Tor نیز در آدرس http://medusacegu2ufmc3kx2kkqicrlcxdettsjcenhjena6uannk5f4ffuyd.onion است.

takian.ir medusa ransomware gang picks up steam as it targets companies worldwide 6
‌به‌عنوان یک گام اضافی برای جلوگیری از بازیابی فایل‌ها از پشتیبان‌گیری، باج‌افزار Medusa دستور زیر را برای حذف فایل‌های ذخیره‌شده محلی مرتبط با برنامه‌های پشتیبان، مانند Windows Backup اجرا می‌کند. این دستور همچنین هارد دیسک مجازی (VHD) مورد استفاده توسط ماشین‌های مجازی را حذف می‌کند.

takian.ir medusa ransomware gang picks up steam as it targets companies worldwide 7
‌سایت مذاکره Tor که خود را "چت امن" می‌نامد، جاییست که هر قربانی یک شناسه منحصر‌به‌فرد دارد که می‌تواند برای ارتباط با گروه باج افزار از آن استفاده کند.
takian.ir medusa ransomware gang picks up steam as it targets companies worldwide 8
‌مانند اکثر عملیات باج‌افزاری که هدف آنها سازمان‌ها است، مدوسا یک سایت نشت داده به نام «مدوسا بلاگ» دارد. این سایت به‌عنوان بخشی از استراتژی اخاذی مضاعف این باند و جایی که آنها اطلاعات قربانیانی را که از پرداخت باج امتناع می‌کنند افشا می‌کنند، استفاده می‌شود.

takian.ir medusa ransomware gang picks up steam as it targets companies worldwide 9
‌هنگامی که قربانی به لیست نشت داده‌ها اضافه می‌شود، اطلاعات آنها بلافاصله منتشر نمی‌شود. در عوض، عوامل تهدید به قربانیان گزینه‌های پولی برای تمدید شمارش معکوس قبل از انتشار داده‌ها، حذف داده‌ها یا دانلود همه داده‌ها می‌دهند. هر‌کدام از این گزینه‌ها قیمت‌های متفاوتی دارند که در زیر نشان داده شده است.

takian.ir medusa ransomware gang picks up steam as it targets companies worldwide 10

این سه گزینه برای اعمال فشار مضاعف بر قربانی انجام می‌شود تا با ایجاد ترس، آنها را به پرداخت ترغیب کند.

متاسفانه، هیچ نقطه‌ضعف شناخته شده‌ای در رمزگذاری باج افزار Medusa وجود ندارد به قربانیان اجازه می‌دهد تا فایل‌های خود را به‌صورت رایگان بازیابی کنند.

محققان به تجزیه‌و‌تحلیل رمزگذار ادامه خواهند داد و در صورت یافتن نقطه‌ضعف، بررسی و راهکار آن متعاقبا گزارش خواهد شد.

برچسب ها: Medusa Blog, مدوسا بلاگ, BCrypt, RSA-2048, کامندلاین, MedusaLocker, Android Medusa, Medusa, مدوسا, AES-256, Command Line, VHD, حملات باج‌افزاری, باج‌افزار, Ransomware-as-a-Service, Tor, Encryption, Mirai, windows, ویندوز, malware, دفاع سایبری, تهدیدات سایبری, Cyber Security, رمزگذاری, بدافزار, امنیت سایبری, Cyber Attacks, حمله سایبری, news

نوشته شده توسط تیم خبر.

چاپ