Botnet Medusa Kembali Sebagai Varian Berbasis Mirai Dengan Ransomware

Botnet Medusa Kembali Sebagai Varian Berbasis Mirai Dengan Ransomware

Posted by : Admin , Feb 15, 2023
Peneliti keamanan Cyble telah menemukan versi botnet Medusa DDoS (distributed denial of service), berdasarkan kode dari Mirai. Botnet ini menyertakan modul ransomware dan pemaksa kasar Telnet.

Medusa adalah jenis malware lama (jangan bingung dengan trojan Android dengan nama yang sama) yang diiklankan di pasar darknet sejak 2015, yang kemudian menambahkan kemampuan DDoS berbasis HTTP pada 2017.

Dikutip dari Bleeping Computer, Cyble mengatakan kepada BleepingComputer bahwa varian baru yang mereka temukan di alam liar ini merupakan kelanjutan dari malware jenis lama ini. Versi terbaru didasarkan pada kode sumber botnet Mirai yang bocor, yang mewarisi kemampuan penargetan Linux dan opsi serangan DDoS yang ekstensif.

Selain itu, Medusa saat ini diiklankan sebagai MaaS (malware-as-a-service) untuk DDoS atau menambang melalui gateway khusus. Ini menjanjikan stabilitas layanan, anonimitas pelanggan, dukungan, API yang mudah digunakan, dan biaya yang dapat disesuaikan dengan kebutuhan spesifik.

“Yang sangat menarik dari varian baru Medusa ini adalah fitur ransomware yang memungkinkannya mencari semua direktori untuk jenis file yang valid untuk enkripsi. Daftar jenis file target terutama terdiri dari file dari dokumen dan desain vektor,” kata Cyble.

Cyble menjelaskan bahwa file yang valid dienkripsi menggunakan enkripsi AES 256-bit, dan ekstensi .medusastealer ditambahkan ke nama file yang dienkripsi.

Setelah mengenkripsi file di perangkat, malware tidur selama 86.400 detik (24 jam) dan menghapus semua file dari drive sistem. Hanya setelah menghapus file, itu menampilkan catatan tebusan yang meminta pembayaran 0,5 BTC ($ 11.400), yang kontra-intuitif untuk upaya pemerasan yang berhasil. Cyble menambahkan: "Kesalahan dalam kode yang disebabkan oleh penghancuran drive sistem membuat korban tidak dapat menggunakan sistem mereka dan membaca catatan tebusan, yang juga berarti varian baru Medusa. Atau setidaknya fitur tersebut masih dalam pengembangan."

Perlu dicatat bahwa meskipun versi baru Medusa memiliki alat pemfilteran data, alat ini tidak mencuri file pengguna sebelum dienkripsi. Alih-alih, ini berfokus pada pengumpulan informasi sistem dasar yang membantu mengidentifikasi korban dan memperkirakan sumber daya yang dapat digunakan untuk eksploitasi dan serangan DDoS. 

Sumber : cyberthreatid.co.id