Mirai koduna dayanan Medusa DDOS'un (Dağıtılmış Hizmet Reddetme) Botnet'in yeni bir versiyonu, fidye yazılımı modülü ve bir Telnet Brute-Forcer içeren Wild'da ortaya çıktı.
Medusa, 2015 yılından bu yana Darknet Piyasalarında ilan edilen eski bir kötü amaçlı yazılım suşudur (aynı isim Android Truva atı ile karıştırılmamalıdır) ve daha sonra 2017'de HTTP tabanlı DDOS yeteneklerini eklemektedir.
Cyble, BleepingComputer'a vahşi doğada tespit ettikleri bu yeni varyantın o eski kötü amaçlı yazılım suşunun devamı olduğunu söyledi. En yeni sürüm, Mirai Botnet'in sızdırılmış kaynak koduna dayanıyor ve Linux hedefleme yeteneklerini ve kapsamlı DDOS saldırı seçeneklerini devralıyor.
Dahası, Medusa şimdi DDO'lar veya özel bir portal aracılığıyla madencilik için bir MaaS (hizmet olarak kötü amaçlı yazılım) olarak terfi ediyor. Hizmet istikrarı, müşteri anonimliği, destek, kullanımı kolay bir API ve belirli ihtiyaçlara dayalı ayarlanabilir maliyet vaat eder.
Bu yeni Medusa varyantında özellikle ilginç olan şey, şifreleme için geçerli dosya türleri için tüm dizinleri aramasını sağlayan bir fidye yazılımı işlevidir. Hedef dosya türlerinin listesi esas olarak belgeler ve vektör tasarım dosyaları içerir.
Geçerli dosyalar AES 256-bit şifreleme kullanılarak şifrelenir ve .Medusastealer uzantısı şifrelenmiş dosyaların adına eklenir
Ancak, şifreleme yöntemi bozulur ve fidye yazılımı bir veri sileceğine dönüştürür.
Cihazdaki dosyaları şifreledikten sonra, kötü amaçlı yazılım 86.400 saniye (24 saat) uyur ve sistem sürücülerindeki tüm dosyaları siler.
Sadece dosyaları sildikten sonra, başarılı bir gasp denemesi için sezgisel olan 0,5 BTC (11.400 $) ödenmesini isteyen bir fidye notu görüntüler.
Cyble, sistem sürücülerinin yok edilmesi, kurbanların sistemlerini kullanmasını ve fidye notunu okumasını imkansız hale getirdiğinden, bunun kodda bir hata olduğuna inanıyor. Bu hata aynı zamanda yeni Medusa varyantının veya en azından bu özelliğin hala geliştirildiğini gösteriyor.
Medusa'nın yeni sürümü bir veri açığa çıkma aracı bulunurken, şifrelemeden önce kullanıcı dosyalarını çalmadığını belirtmek gerekir. Bunun yerine, mağdurların belirlenmesine ve madencilik ve DDOS saldırıları için kullanılabilecek kaynakları tahmin etmeye yardımcı olan temel sistem bilgilerini toplamaya odaklanır.
Medusa ayrıca, internete bağlı cihazlara karşı yaygın olarak kullanılan kullanıcı adlarını ve şifreleri deneyen kaba bir forcere sahiptir. Daha sonra, başarılı olursa, Cyble'ın alamadığı ve analiz edemediği ek bir yük indirmeye çalışır.
Ardından, Medusa, Port 23'te çalışan Telnet Hizmetleri ile diğer cihazları bulmak için "ZMAP" komutunu yürütür ve daha sonra alınan IP adreslerini ve kullanıcı adı ve şifrelerin bir kombinasyonunu kullanarak bunlara bağlanmaya çalışır.
Son olarak, bir telnet bağlantısı kurduktan sonra, kötü amaçlı yazılım sistemi birincil Medusa yükü ("Infection_Medusa_Stealer") ile bulaşır.
Son Medusa yükü ayrıca “Fivembackdoor” ve “SShlogin” komutlarını almak için eksik desteğe sahiptir.
Ancak, ilgili kod henüz devam eden gelişiminin başka bir işareti olan istemci Python dosyasında mevcut değildir.
Yeni Headcrab kötü amaçlı yazılım, Monero'ya Minero'ya 1.200 Redis Sunucusuna Enfekte
Hastanelere yapılan son saldırılarda kullanılan yeni DDOS-Hizmet Platformu
Bilgisayar korsanları, kötü amaçlı yazılım yüklemek için kaktüs kritik hatası, ters kabukları açmak
Zerobot kötü amaçlı yazılım artık Apache güvenlik açıklarından yararlanarak yayılıyor
FBI, kötü amaçlı yazılımları iten arama motoru reklamlarını uyarıyor, kimlik avı
Kaynak: Bleeping Computer