Η ομάδα των χάκερς με την επωνυμία “Medusa” μπορεί μέχρι πρότινος να ήταν άγνωστη στην Κύπρο, στο εξωτερικό ωστόσο έχει κάνει εδώ και καιρό αισθητή την παρουσία της μέσως κυβερνοεπιθέσεων σε πληθώρα επιχειρήσεων και εκπαιδευτικών ιδρυμάτων, κάτι που την έχει καταστήσει σημαντική διεθνή απειλή σε ό,τι αφορά την ασφάλεια του διαδικτύου.

Ποιοι είναι όμως οι άνθρωποι πίσω από το κωδικό όνομα “MEDUSA” και οι οποίοι χωρίς δεύτερη σκέψη υλοποίησαν τις απειλές τους και διέρρευσαν ευαισθητα προσωπικά δεδομένα του Ανοικτού Πανεπιστημίου Κύπρου, όταν το τελευταίο αρνήθηκε να τους καταβάλει τα λύτρα που ζήτησαν;

Η ταυτότητα των ανθρώπων είναι άγνωστη, και το πιο πιθανό να παραμείνει έτσι. Η δράση τους όμως είναι γνωστή, αφού δεν είναι λίγοι οι επιστήμονες ηλεκτρονικων υπολογιστών και οι ειδικοί δικανικής ηλεκτρονικής μηχανικής και κυβερνοασφάλειας, που τους έχουν βάλει στα μικροσκόπιά τους αναλύοντας τόσο τον τρόπο δράσης τους (modus operandi), όσο και την “επιχειρησιακή” τους εξέλιξή από το 2021 που πρωτοεμφανίστηκαν, μέχρι σήμερα.

Η MEDUSA άρχισε να “απογειώνεται” το 2023, στοχεύοντας σε εταιρείες σε όλο τον κόσμο με την γνωστή τακτική υποκλοπής ευαίσθητων αρχείων ή κλειδώματος αρχείων και την απαίτηση λύτρων δεκάδων εκατομμυρίων δολαρίων, προκειμένου να μην διαρρεύσει στοιχεία ή να ξεκλειδώσει στοιχεία.

Η ηλεκτρονική εγκληματική οργάνωση παρουσιάστηκε στο προσκήνιο τον Ιούνιο του 2021 έχοντας σχετικά χαμηλή δραστηριότητα και και λίγα θύματα στο ιστορικό της. Το 2023, ωστόσο, επανήλθε ενδυναμωμένη κυκλοφορώντας παράλληλα και δικό της προσωπικό blog στο σκοτεινό διαδίκτυο με την ονομασία «Blog Medusa» όπου και διέρρεε δεδομένα θυμάτων που αρνούνταν να της καταβάλουν λύτρα.

Πρόσφατα ομάδα των χάκερς της “MEDUSA” ανέλαβε την ευθύνη επιθέσεων σε Δημόσια Σχολεία της Μινεάπολης (MPS) μοιράζοντας μάλιστα και ένα βίντεο με τα κλεμμένα δεδομένα.

Τη συγκεκριμένη πάντως ονομασία “MEDUSA” χρησιμοποιούν αυτή τη στιγμή αρκετές “οικογένειες” κακοβουλων λογισμικών κάτι που προκάλεσε σύγχυση με κάποιους να κάνουν λόγο για την ίδια ομάδα, πράγμα που όπως καταδείχθηκε δεν ισχύει.

 

Το κακόβουλο λογισμικό της “MEDUSA” ξεκίνησε να εμφανίζεται τον Ιούνιο του 2021 με την αναρτημένη σημείωση απαίτησης λύτρων με το όνονα “!!!READ_ME_MEDUSA!!!.txt” και μια στατική κρυπτογραφημένη επέκταση αρχείου “.MEDUSA.”

 

Η λειτουργία της Medusa χρησιμοποιεί επίσης έναν ιστότοπο Tor όπου διενεργεί τις διαπραγματεύσεις για λύτρα.

Πώς κρυπτογραφεί η Medusa συσκευές WindowsΣύμφωνα με τονιστότοπο BleepingComputer οι συντάκτες του οποίου κατάφεραν να αναλύσουν τον κρυπτογραφητή της “MEDUSA” για Windows.

Ο κρυπτογραφητής των Windows δέχεται επιλογές εντολών που επιτρέπουν στον χάκερ να διαμορφώσει τον τρόπο με τον οποίο θα κρυπτογραφούνται τα αρχεία στη συσκευή.

 

 

 

Ο ειδικός ransomware Michael Gillespie ανέλυσε επίσης τον κρυπτογραφητή και είπε στην BleepingComputer ότι κρυπτογραφεί αρχεία χρησιμοποιώντας κρυπτογράφηση AES-256 + RSA-2048 χρησιμοποιώντας τη βιβλιοθήκη BCrypt.

 

Κατά την κρυπτογράφηση αρχείων, το ransomware θα προσαρτήσει την επέκταση .MEDUSA σε κρυπτογραφημένα ονόματα αρχείων, όπως φαίνεται παρακάτω. Για παράδειγμα, το 1.doc θα κρυπτογραφηθεί και θα μετονομαστεί σε 1.doc.MEDUSA.

Σε κάθε φάκελο, το ransomware θα δημιουργήσει μια σημείωση λύτρων με το όνομα !!!READ_ME_MEDUSA!!!.txt που περιέχει πληροφορίες σχετικά με το τι συνέβη στα αρχεία του θύματος.

Το σημείωμα λύτρων θα περιλαμβάνει επίσης στοιχεία επικοινωνίας για επέκταση, συμπεριλαμβανομένου ενός ιστότοπου διαρροής δεδομένων Tor, ενός ιστότοπου διαπραγμάτευσης Tor, ενός καναλιού Telegram, ενός αναγνωριστικού Tox και της διεύθυνσης ηλεκτρονικού ταχυδρομείου [email protected].

Ο ιστότοπος διαπραγμάτευσης Tor βρίσκεται στη διεύθυνση http://medusacegu2ufmc3kx2kkqicrlcxdettsjcenhjena6uannk5f4ffuyd.onion.

Ως ένα επιπλέον βήμα για την αποτροπή της επαναφοράς αρχείων από αντίγραφα ασφαλείας, το ransomware Medusa θα εκτελέσει την ακόλουθη εντολή για να διαγράψει τοπικά αποθηκευμένα αρχεία που σχετίζονται με προγράμματα δημιουργίας αντιγράφων ασφαλείας, όπως το Windows Backup. Αυτή η εντολή θα διαγράψει επίσης εικονικούς σκληρούς δίσκους (VHD) που χρησιμοποιούνται από εικονικές μηχανές.Ο ιστότοπος διαπραγμάτευσης Tor αυτοαποκαλείται “Ασφαλής συνομιλία”, όπου κάθε θύμα έχει ένα μοναδικό αναγνωριστικό που μπορεί να χρησιμοποιηθεί για την επικοινωνία με τη συμμορία ransomware.

Όπως οι περισσότερες λειτουργίες ransomware που στοχεύουν σε επιχειρήσεις, η Medusa διαθέτει έναν ιστότοπο διαρροής δεδομένων με το όνομα “Medusa Blog”. Αυτός ο ιστότοπος χρησιμοποιείται ως μέρος της στρατηγικής διπλού εκβιασμού της συμμορίας, όπου διαρρέουν δεδομένα για θύματα που αρνούνται να πληρώσουν λύτρα.Όταν ένα θύμα προστίθεται στη διαρροή δεδομένων, τα δεδομένα του δεν δημοσιεύονται αμέσως. Αντίθετα, οι φορείς απειλών δίνουν στα θύματα επιλογές επί πληρωμή να επεκτείνουν την αντίστροφη μέτρηση πριν από την κυκλοφορία των δεδομένων, να διαγράψουν τα δεδομένα ή να κατεβάσουν όλα τα δεδομένα. Κάθε μία από αυτές τις επιλογές έχει διαφορετικές τιμές, όπως φαίνεται παρακάτω.

Αυτές οι τρεις επιλογές γίνονται για να ασκηθεί επιπλέον πίεση στο θύμα για να το τρομάξει να πληρώσει λύτρα.

Δυστυχώς, καμία γνωστή αδυναμία στην κρυπτογράφηση Medusa Ransomware δεν επιτρέπει στα θύματα να ανακτούν τα αρχεία τους δωρεάν.

Οι ερευνητές θα συνεχίσουν να αναλύουν τον κρυπτογραφητή και εάν εντοπιστεί αδυναμία, θα το αναφέρουμε στο BleepingComputer.