Medusa botnet กลับมาอีกครั้งในรูปแบบ Mirai-based พร้อม ransomware sting

Cyble บริษัทวิจัยด้านความปลอดภัยทางไซเบอร์ เปิดเผยการพบ Medusa DDoS (distributed denial of service) botnet เวอร์ชันใหม่ ที่พัฒนาจาก Mirai code based ซึ่งประกอบไปด้วยความสามารถของ ransomware และ Telnet brute-forcer ซึ่งสามารถกำหนดเป้าหมายบน Linux และสามารถโจมตี DDoS ได้หลากหลายรูปแบบ

และในตอนนี้ Medusa ได้กลายเป็น MaaS (malware-as-a-service) สำหรับการโจมตีในรูปแบบ DDoS หรือการขุดเหรียญคริปโต โดยได้รับประกันความเสถียรของบริการ รวมทั้งการไม่เปิดเผยตัวตนของลูกค้า มี API ที่ใช้งานได้ง่าย และค่าใช้จ่ายที่ปรับได้ตามความต้องการของผู้ใช้บริการ

Medusa เป็นมัลแวร์ที่มีมาอย่างยาวนาน ซึ่งมีการโฆษณาขายในตลาดมืดตั้งแต่ปี 2015 และต่อมาได้เพิ่มความสามารถในการโจมตี DDoS ผ่าน HTTP protocol ในปี 2017

ฟังก์ชันของ Ransomware

สิ่งที่น่าสนใจสำหรับ Medusa รูปแบบใหม่นี้คือฟังก์ชันของ Ransomware ที่ช่วยให้สามารถค้นหาไดเร็กทอรีทั้งหมดสำหรับประเภทไฟล์ที่กำหนดสำหรับการเข้ารหัสข้อมูล โดยรายการประเภทไฟล์เป้าหมายนั้นประกอบด้วยไฟล์เอกสาร และไฟล์ vector design เป็นหลัก

โดยไฟล์ที่เป็นเป้าหมายจะถูกเข้ารหัสด้วย AES 256 บิต และนามสกุล .medusastealer ต่อท้ายชื่อไฟล์ที่ถูกเข้ารหัส

ซึ่งพบว่ามันไม่เพียงแต่เข้ารหัสข้อมูลเท่านั้น แต่ยังเป็น data wiper ที่มุ่งทำลายข้อมูลบนเครื่องที่ถูกโจมตีอีกด้วย โดยพบว่าหลังจากเข้ารหัสไฟล์บนเครื่องเหยื่อแล้ว มัลแวร์จะเข้าสู่โหมดสลีปเป็นเวลา 86,400 วินาที (24 ชั่วโมง) หลังจากนั้นจะทำการลบไฟล์ทั้งหมดในไดรฟ์บนระบบ หลังจากลบไฟล์แล้ว มันจะแสดงข้อความเรียกค่าไถ่ที่ขอให้ชำระเงิน 0.5 BTC ($11,400)

Cyble วิเคราะห์ว่า การที่ Medusa ทำการลบข้อมูลทิ้งหลังจากการเข้ารหัสข้อมูลเป็นข้อผิดพลาดของคำสั่งการ เนื่องจากทำลายข้อมูลบนเครื่องที่ถูกโจมตี จะทำให้เหยื่อไม่สามารถใช้งานระบบของตน รวมถึงการเปิดอ่านข้อความเรียกเหตุค่าไถ่ได้ ซึ่งข้อผิดพลาดนี้แสดงให้เห็นว่า Medusa รูปแบบใหม่ หรืออย่างน้อยฟีเจอร์นี้ยังอยู่ในระหว่างการพัฒนา

รวมไปถึงจุดสังเกตุที่พบว่า ถึงแม้ Medusa รูปแบบใหม่จะมีเครื่องมือในการขโมยข้อมูล แต่มันกลับไม่ขโมยไฟล์ข้อมูลของเหยื่อก่อนทำการเข้ารหัส แต่จะมุ่งเน้นไปที่การรวบรวมข้อมูลระบบพื้นฐานที่ช่วยในการระบุตัวตนของเหยื่อ และประเมินทรัพยากรของเครื่องสำหรับการขุดเหรียญคริปโต และการโจมตี DDoS

การโจมตีด้วย Telnet

Medusa รูปแบบใหม่ยังมีฟังก์ชั่น brute force ในการสุ่มชื่อ และรหัสผ่านที่ใช้ทั่วไป ซึ่งหาก brute force สำเร็จ ก็จะทำการดาวน์โหลดเพย์โหลดที่เป็นอันตรายเพิ่มเติม

รวมถึงการใช้คำสั่ง "zmap" เพื่อค้นหาอุปกรณ์อื่นที่มีบริการ Telnet ที่ทำงานบน port 23 จากนั้นจะพยายามเชื่อมต่อกับอุปกรณ์เหล่านั้นโดยใช้ที่อยู่ IP, ชื่อผู้ใช้ และรหัสผ่านที่ดึงออกมาจากเครื่องที่ถูกโจมตี

สุดท้ายเมื่อสามารถเชื่อมต่อผ่าน Telnet ได้สำเร็จ ก็จะทำการเรียกใช้งานเพย์โหลด ("infection_medusa_stealer") อีกทั้งพบว่าเพย์โหลดสุดท้ายของ Medusa ยังคงรองรับคำสั่ง "FivemBackdoor" และ "sshlogin" ได้ไม่สมบูรณ์ เนื่องจากยังอยู่ในระหว่างการพัฒนา

IOC

ที่มา :

bleepingcomputer

blog.cyble