Une opération de ransomware connue sous le nom de Medusa a commencé à prendre de l’ampleur en 2023, ciblant les entreprises victimes dans le monde entier avec des demandes de rançon d’un million de dollars.
L’opération Medusa a débuté en juin 2021 mais a eu une activité relativement faible, avec peu de victimes. Cependant, en 2023, le gang des rançongiciels a augmenté son activité et a lancé un « blog Medusa » utilisé pour divulguer des données pour les victimes qui ont refusé de payer une rançon.
Medusa a attiré l’attention des médias cette semaine après avoir revendiqué la responsabilité d’une attaque contre le district des écoles publiques de Minneapolis (MPS) et partagé une vidéo des données volées.
La vraie Méduse se lèvera-t-elle ?
De nombreuses familles de logiciels malveillants s’appellent Medusa, y compris un botnet basé sur Mirai avec des capacités de ransomware, un malware Android Medusa et l’opération de ransomware MedusaLocker largement connue.
En raison du nom couramment utilisé, il y a eu des rapports déroutants sur cette famille de ransomwares, beaucoup pensant que c’est la même chose que MedusaLocker.
Cependant, les opérations de ransomware Medusa et MedusaLocker sont entièrement différentes.
L’opération MedusaLocker a été lancée en 2019 en tant que Ransomware-as-a-Service, avec de nombreux affiliés, une note de rançon communément appelée How_to_back_files.html et une grande variété d’extensions de fichiers pour les fichiers cryptés.
L’opération MedusaLocker utilise un site Web Tor sur qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion pour la négociation.
Cependant, l’opération de rançongiciel Medusa a été lancée vers juin 2021 et a utilisé une note de rançon nommée !!!READ_ME_MEDUSA!!!.txt et une extension de fichier cryptée statique de .MEDUSA.
L’opération Medusa utilise également un site Web Tor pour les négociations de rançon, mais celui-ci est situé sur medusacegu2ufmc3kx2kkqicrlcxdettsjcenhjena6uannk5f4ffuyd.onion.
Comment Medusa chiffre les appareils Windows
Breachtrace n’a pu analyser que le chiffreur Medusa pour Windows, et on ne sait pas s’ils en ont un pour Linux pour le moment.
Le chiffreur Windows acceptera les options de ligne de commande qui permettent à l’auteur de la menace de configurer la façon dont les fichiers seront chiffrés sur l’appareil, comme indiqué ci-dessous.
Par exemple, l’argument de ligne de commande -v entraînera l’affichage d’une console par le ransomware, affichant des messages d’état lorsqu’il crypte un appareil.
Lors d’une exécution régulière, sans arguments de ligne de commande, le rançongiciel Medusa mettra fin à plus de 280 services et processus Windows pour les programmes susceptibles d’empêcher le chiffrement des fichiers. Ceux-ci incluent les services Windows pour les serveurs de messagerie, les serveurs de base de données, les serveurs de sauvegarde et les logiciels de sécurité.
Le rançongiciel supprimera alors les clichés instantanés de volumes Windows pour les empêcher d’être utilisés pour récupérer des fichiers.
supprime les clichés instantanés de volume
vssadmin Supprimer les ombres /all /quiet
vssadmin redimensionne shadowstorage /for=%s /on=%s /maxsize=unbounded
L’expert en ransomware Michael Gillespie a également analysé le crypteur et a déclaré à Breachtrace qu’il cryptait les fichiers en utilisant le cryptage AES-256 + RSA-2048 à l’aide de la bibliothèque BCrypt.
Gillespie a en outre confirmé que la méthode de cryptage utilisée dans Medusa est différente de celle utilisée dans MedusaLocker.
Lors du cryptage des fichiers, le ransomware ajoutera l’extension .MEDUSA aux noms de fichiers cryptés, comme indiqué ci-dessous. Par exemple, 1.doc serait crypté et renommé en 1.doc.MEDUSA.
Dans chaque dossier, le ransomware créera une note de rançon nommée !!!READ_ME_MEDUSA!!!.txt qui contient des informations sur ce qui est arrivé aux fichiers de la victime.
La note de rançon comprendra également des informations de contact d’extension, y compris un site de fuite de données Tor, un site de négociation Tor, un canal Telegram, un identifiant Tox et l’adresse e-mail [email protected]
Le site de négociation Tor est à http://medusacegu2ufmc3kx2kkqicrlcxdettsjcenhjena6uannk5f4ffuyd.onion.
Comme étape supplémentaire pour empêcher la restauration de fichiers à partir de sauvegardes, le rançongiciel Medusa exécutera la commande suivante pour supprimer les fichiers stockés localement associés à des programmes de sauvegarde, comme Windows Backup. Cette commande supprimera également les disques durs de disque virtuel (VHD) utilisés par les machines virtuelles.
Le site de négociation Tor s’appelle « Secure Chat », où chaque victime a un identifiant unique qui peut être utilisé pour communiquer avec le gang de rançongiciels.
Comme la plupart des opérations de ransomware ciblant les entreprises, Medusa possède un site de fuite de données nommé « Medusa Blog ». Ce site est utilisé dans le cadre de la stratégie de double extorsion du gang, où ils divulguent des données pour les victimes qui refusent de payer une rançon.
Lorsqu’une victime est ajoutée à la fuite de données, ses données ne sont pas immédiatement publiées. Au lieu de cela, les acteurs de la menace offrent aux victimes des options payantes pour prolonger le compte à rebours avant la publication des données, pour supprimer les données ou pour télécharger toutes les données. Chacune de ces options a des prix différents, comme indiqué ci-dessous.
Ces trois options sont faites pour appliquer une pression supplémentaire sur la victime afin de lui faire peur et de lui faire payer une rançon.
Malheureusement, aucune faiblesse connue du cryptage Medusa Ransomware ne permet aux victimes de récupérer leurs fichiers gratuitement.
Les chercheurs continueront d’analyser le chiffreur, et si une faiblesse est découverte, nous la signalerons à Breachtrace.