Medusa Menargetkan Seluruh Dunia

Aktivitas ransomware yang dijuluki Medusa terlihat meningkat sejak memasuki tahun 2023, Ransomware Medusa menargetkan seluruh dunia dengan permintaan tebusan jutaan dolar.

Operasi Medusa dimulai pada Juni 2021 tetapi aktivitasnya relatif rendah, dengan sedikit korban. Namun, pada tahun 2023 geng ransomware meningkat aktivitasnya dan meluncurkan ‘Blog Medusa’ yang digunakan untuk membocorkan data korban yang menolak membayar uang tebusan.

Medusa mendapat perhatian media minggu ini setelah mereka mengaku bertanggung jawab atas serangan di distrik Sekolah Umum Minneapolis (MPS) dan membagikan video data yang dicuri.

Baca juga: Panduan Ransomware Singkat

Medusa yang Asli

Banyak keluarga malware menyebut diri mereka Medusa, termasuk botnet berbasis Mirai dengan kemampuan ransomware, malware Android Medusa, dan operasi ransomware MedusaLocker yang dikenal luas.

Karena nama yang umum digunakan, ada beberapa laporan yang membingungkan tentang keluarga ransomware ini, dengan banyak yang mengira itu sama dengan MedusaLocker.

Namun, operasi ransomware Medusa dan MedusaLocker sama sekali berbeda.

Operasi MedusaLocker diluncurkan pada 2019 sebagai Ransomware-as-a-Service, dengan banyak afiliasi, catatan tebusan yang biasa disebut How_to_back_files.html, dan beragam ekstensi file untuk file terenkripsi.

Operasi MedusaLocker menggunakan situs web Tor di qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion untuk negosiasi.

Namun, operasi ransomware Medusa diluncurkan sekitar Juni 2021 dan telah menggunakan catatan tebusan bernama !!!READ_ME_MEDUSA!!!.txt dan ekstensi file terenkripsi statis .MEDUSA.

Operasi Medusa juga menggunakan situs web Tor untuk negosiasi tebusan, namun situs mereka terletak di medusacegu2ufmc3kx2kkqicrlcxdettsjcenhjena6uannk5f4ffuyd.onion.

Baca juga: Persiapan Menghadapi Ransomware

Medusa Enkripsi Perangkat Windows

Ahli keamanan siber hanya dapat menganalisis enkripsi Medusa untuk Windows, dan tidak diketahui apakah mereka memilikinya untuk Linux saat ini.

Enkripsi Windows akan menerima opsi baris perintah yang memungkinkan pelaku mengonfigurasi cara file dienkripsi pada perangkat.

Misalnya, argumen baris perintah -v akan menyebabkan ransomware menampilkan konsol, menampilkan pesan status saat mengenkripsi perangkat.

Dalam proses reguler, tanpa argumen baris perintah, ransomware Medusa akan menghentikan lebih dari 280 layanan dan proses Windows untuk program yang dapat mencegah file dienkripsi.

Ini termasuk layanan Windows untuk server email, server basis data, server cadangan, dan perangkat lunak keamanan.

Ransomware kemudian akan menghapus Windows Shadow Volume Copies untuk mencegahnya digunakan untuk memulihkan file.

Metode Enkripsi Medusa

Pakar ransomware menganalisis enkripsi dan memberi tahu ransomware Medusa mengenkripsi file menggunakan enkripsi AES-256 + RSA-2048 menggunakan library BCrypt.

Lebih lanjut ditegaskan bahwa metode enkripsi yang digunakan di Medusa berbeda dengan yang digunakan di MedusaLocker.

Saat mengenkripsi file, ransomware akan menambahkan ekstensi .MEDUSA ke nama file terenkripsi, seperti yang ditunjukkan di bawah ini. Misalnya, 1.doc akan dienkripsi dan diganti namanya menjadi 1.doc.MEDUSA.

Di setiap folder, ransomware akan membuat catatan tebusan bernama !!!READ_ME_MEDUSA!!!.txt yang berisi informasi tentang apa yang terjadi pada file korban.

Catatan tebusan juga akan menyertakan informasi kontak ekstensi, termasuk situs kebocoran data Tor, situs negosiasi Tor, saluran Telegram, ID Tox, dan alamat email key.medusa.serviceteam@protonmail.com.

Situs negosiasi Tor ada di

http://medusacegu2ufmc3kx2kkqicrlcxdettsjcenhjena6uannk5f4ffuyd.onion.

Baca juga: 3 Fase Serangan Ransomware

Cegah Pemulihan & Situs Negoisasi

Sebagai langkah ekstra untuk mencegah pemulihan file dari cadangan, ransomware Medusa akan menjalankan perintah untuk menghapus file yang disimpan secara lokal yang terkait dengan program cadangan.

Seperti Pencadangan Windows. Perintah ini juga akan menghapus hard disk virtual (VHD) yang digunakan oleh mesin virtual.

del /s /f /q %s*.VHD %s*.bac %s*.bak %s*.wbcat %s*.bkf %sBackup*.* %sbackup*.* %s*.set %s* .win %s*.dsk

Situs negosiasi Tor menyebut dirinya “Safe Chat”, di mana setiap korban memiliki ID unik yang dapat digunakan untuk berkomunikasi dengan geng ransomware.

Situs Kebocoran Data

Seperti kebanyakan operasi ransomware penargetan perusahaan, Medusa memiliki situs kebocoran data bernama ‘Medusa Blog.

Situs ini digunakan sebagai bagian dari strategi pemerasan ganda, di mana mereka membocorkan data korban yang menolak membayar uang tebusan.

Ketika seorang korban ditambahkan ke situs kebocoran data, datanya tidak segera dipublikasikan. Sebaliknya, pelaku memberikan opsi berbayar kepada korban, tujuannya untuk:

• Memperpanjang hitungan mundur sebelum data dirilis
• Menghapus data.
• Mengunduh semua data.

Masing-masing opsi ini memiliki harga yang berbeda, seperti yang ditunjukkan di bawah ini.

Ketiga opsi ini dilakukan untuk memberikan tekanan ekstra pada korban untuk menakut-nakuti mereka agar membayar uang tebusan.

Sayangnya, tidak ada kelemahan yang diketahui dalam enkripsi Medusa Ransomware yang memungkinkan korban memulihkan file mereka secara gratis.

Sumber berita:

BleepingComputer