Medusa Ransomware

Medusa در اواخر سال 2022 در قالب یک پلتفرم باج افزار به عنوان یک سرویسRansomware as a Service (RaaS) ظاهر شد و در اوایل سال 2023 به شهرت رسید و عمدتاً محیط های ویندوز را هدف قرار داد. Medusa با MedusaLocker که از سال 2019 در دسترس است متفاوت است و نباید اشتباه گرفته شود. گروه باج‌افزار مدوسا عمدتاً باج‌افزار خود را از طریق بهره‌برداری از سرویس‌های آسیب‌پذیر (مانند Public Assets یا برنامه‌های کاربردی یا Zero Days) و ربودن حساب‌های قانونی و غیره منتشر می کند. گروه باج افزاری Medusa هم مانند خیلی از گروه های باج افزاری از تکنیک Multi-Extortion استفاده می کند و از اعلامیه های زیر برای تحت فشار قرار دادن قربانیان برای پرداخت باج استفاده می کند:

برچسب قیمت: مبلغ نمایش‌داده‌شده مبلغی است که سازمان‌های آسیب‌دیده باید برای حذف داده‌ها از سایت به گروه بپردازند. مانند بسیاری از گروه‌های باج‌افزار هر گونه پرداختی که واقعاً انجام می‌شود ممکن است مستقیماً با قیمت نشان‌داده‌شده در سایت مطابقت نداشته باشد.

شمارش معکوس: مدت زمانی است که سازمان‌ها تحت‌تأثیر قرار گرفته‌اند تا داده‌های دزدیده شده به‌صورت عمومی منتشر شوند و برای دانلود در دسترس باشند.

تعداد بازدیدکنندگان: تعداد بازدیدکنندگان پستی که در استراتژی مذاکره برای تحت فشار قرار دادن قربانیان برای پرداخت استفاده می شود. نام و شرح قربانی: اطلاعات قابل شناسایی برای سازمان در معرض خطر.

بر اساس گزارش‌های خود Medusa این گروه 74 سازمان را در سال 2023 تحت تاثیر قرار داده است. صنعت های مختلف و بخش آموزش بیشترین هدف این گروه بوده است. همچنین کشور آمریکا با 24 حادثه در صدر هدف این گروه قرار دارد و تعداد قابل توجهی از سازمان های اروپا، سراسر آفریقا، آمریکای جنوبی و آسیا نیز نیز جزء اهداف این گروه بوده است.

در جدیدترین حمله گروه باج‌افزار Medusa یک Webshell را روی یک سرور آسیب‌پذیر Microsoft Exchange آپلود کردند. این Webshell با فایل‌های ASPX که قبلاً برای login.aspx و cmd.aspx گزارش شده‌اند همپوشانی دارد. سپس با استفاده از Powershell برای اجرای Bitsadmin برای دانلود یک فایل به نام Filemail [.]com استفاده کردند. فایل دانلود شده از این سایت به‌صورت ZIP فشرده و با عنوان baby.zip می‌باشد. پس از فشرده‌سازی و اجرا، نرم‌افزار کنترل و مدیریت از راه دور (RMM) ConnectWise را نصب می‌کند. سپس برای فرار از تشخیص توسط آنتی‌ویروس از یک هدر جعلی UPX استفاده می‌کند. برای شناسایی شبکه و اجرای دستورات خود مهاجم از Netscan و PsExec استفاده می‌کند. باج‌افزار مدوسا از رمزگذاری نامتقارن RSA برای محافظت از کلید AES256 استفاده می‌کند که برای رمزگذاری فایل‌های قربانی استفاده می‌شود. کلید AES256 با استفاده از یک کلید 32 بایتی و یک بردار اولیه 16 بایتی تنظیم می‌شود. فایل‌های رمزگذاری شده با پسوند . Medusa تغییر نام داده می‌شوند.

راه هایی برای کاهش این خطر پذیری

به‌روز نگه‌داشتن سیستم‌عامل
به‌روز نگه‌داشتن و Patch کردن آسیب‌پذیری‌های جدید روی سرور
نظارت بر پروسس‌های در حال اجرا
نظارت بر ترافیک خروجی شبکه

روش های تشخیص این حمله

در صورت استفاده از سیستم شناسایی و پاسخ در نقاط پایانی هوپان (EDR) که یکی از اساسی ترین ماژول های راهکار گسترده شناسایی و پاسخ نخجیرپان (XDR) می‌باشد، تحلیل فعالیت های مرتبط و هشدارهای زیر مشاهده می گردد:

نظارت بر حملات Filess
نظارت بر پروسس‌های مشکوک در حال اجرا
نظارت بر نرم‌افزارهای کنترل از راه دور

این تهدید از تکنیک های زیر که در جدول مایتر اتک موجود می باشد استفاده نموده است.

شرکت مهندسی امن ارتباط سینداد کلیه IOA و IOC های مرتبط با تشخیص این حمله را به سامانه های خود افزوده است.

Initial Access	Execution	Persistence	Privilege Escalation	Defense Evasion	Credential Access	Discovery	Lateral Movement	Command And Control	Exfiltration	Impact
Drive-by Compromise	AppleScript	.bash_profile and .bashrc	Access Token Manipulation	Access Token Manipulation	Account Manipulation	Account Discovery	AppleScript	Commonly Used Port	Automated Exfiltration	Account Access Removal
Exploit Public-Facing Application	CMSTP	Accessibility Features	Accessibility Features	Binary Padding	Bash History	Application Window Discovery	Application Deployment Software	Communication Through Removable Media	Data Compressed	Data Destruction
External Remote Services	Command-Line Interface	Account Manipulation	AppCert DLLs	BITS Jobs	Brute Force	Browser Bookmark Discovery	Component Object Model and Distributed COM	Connection Proxy	Data Encrypted	Data Encrypted for Impact
Hardware Additions	Compiled HTML File	AppCert DLLs	AppInit DLLs	Bypass User Account Control	Credential Dumping	Domain Trust Discovery	Exploitation of Remote Services	Custom Command and Control Protocol	Data Transfer Size Limits	Defacement
Phishing	Component Object Model and Distributed COM	AppInit DLLs	Application Shimming	Clear Command History	Credentials from Web Browsers	File and Directory Discovery	Internal Spearphishing	Custom Cryptographic Protocol	Exfiltration Over Alternative Protocol	Disk Content Wipe
Spearphishing Attachment	Control Panel Items	Application Shimming	Bypass User Account Control	CMSTP	Credentials in Files	Network Service Scanning	Logon Scripts	Data Encoding	Exfiltration Over Command and Control Channel	Disk Structure Wipe
Spearphishing Link	Dynamic Data Exchange	Authentication Package	DLL Search Order Hijacking	Code Signing	Credentials in Registry	Network Share Discovery	Pass the Hash	Data Obfuscation	Exfiltration Over Other Network Medium	Endpoint Denial of Service
Spearphishing via Service	Execution through API	BITS Jobs	Dylib Hijacking	Compile After Delivery	Exploitation for Credential Access	Network Sniffing	Pass the Ticket	Domain Fronting	Exfiltration Over Physical Medium	Firmware Corruption
Supply Chain Compromise	Execution through Module Load	Bootkit	Elevated Execution with Prompt	Compiled HTML File	Forced Authentication	Password Policy Discovery	Remote Desktop Protocol	Ingress Tool Transfer	Scheduled Transfer	Inhibit System Recovery
Trusted Relationship	Exploitation for Client Execution	Boot or Logon Autostart Execution	Emond	Component Firmware	Hooking	Peripheral Device Discovery	Remote File Copy	Fallback Channels		Network Denial of Service
Valid Accounts	Graphical User Interface	Change Default File Association	Exploitation for Privilege Escalation	Component Object Model Hijacking	Input Capture	Permission Groups Discovery	Remote Services	Multi-hop Proxy		Resource Hijacking
	InstallUtil	Component Firmware	Extra Window Memory Injection	Connection Proxy	Input Prompt	Process Discovery	Replication Through Removable Media	Multi-Stage Channels		Runtime Data Manipulation
	Launchctl	Component Object Model Hijacking	File System Permissions Weakness	Control Panel Items	Kerberoasting	Query Registry	Shared Webroot	Multiband Communication		Service Stop
	Local Job Scheduling	Create Account	Hooking	DCShadow	Keychain	Remote System Discovery	SSH Hijacking	Multilayer Encryption		Stored Data Manipulation
	LSASS Driver	DLL Search Order Hijacking	Image File Execution Options Injection	Deobfuscate/Decode Files or Information	LLMNR/NBT-NS Poisoning and Relay	Security Software Discovery	Taint Shared Content	Port Knocking		System Shutdown/Reboot
	Mshta	Dylib Hijacking	Launch Daemon	Disabling Security Tools	Network Sniffing	Software Discovery	Third-party Software	Remote Access Tools		Transmitted Data Manipulation
	PowerShell	Emond	New Service	DLL Search Order Hijacking	Password Filter DLL	System Information Discovery	Windows Admin Shares	Remote File Copy
	Regsvcs/Regasm	External Remote Services	Parent PID Spoofing	DLL Side-Loading	Private Keys	System Network Configuration Discovery	Windows Remote Management	Standard Application Layer Protocol
	Regsvr32	File System Permissions Weakness	Path Interception	Execution Guardrails	Securityd Memory	System Network Connections Discovery		Standard Cryptographic Protocol
	Rundll32	Hidden Files and Directories	Plist Modification	Exploitation for Defense Evasion	Steal Web Session Cookie	System Owner/User Discovery		Standard Non-Application Layer Protocol
	Scheduled Task	Hooking	Port Monitors	Extra Window Memory Injection	Two-Factor Authentication Interception	System Service Discovery		Uncommonly Used Port
	Scripting	Hypervisor	PowerShell Profile	File and Directory Permissions Modification		System Time Discovery		Web Service
	Service Execution	Image File Execution Options Injection	Process Injection	File Deletion		Virtualization/Sandbox Evasion
	Signed Binary Proxy Execution	Kernel Modules and Extensions	Scheduled Task	File System Logical Offsets
	Signed Script Proxy Execution	Launch Agent	Service Registry Permissions Weakness	Gatekeeper Bypass
	Source	Launch Daemon	Setuid and Setgid	Group Policy Modification
	Space after Filename	Launchctl	SID-History Injection	Hidden Files and Directories
	Third-party Software	LC_LOAD_DYLIB Addition	Startup Items	Hidden Users
	Trap	Local Job Scheduling	Sudo	Hidden Window
	Trusted Developer Utilities	Login Item	Sudo Caching	HISTCONTROL
	User Execution	Logon Scripts	Valid Accounts	Image File Execution Options Injection
	Windows Management Instrumentation	LSASS Driver	Web Shell	Indicator Blocking
	Windows Remote Management	Modify Existing Service		Indicator Removal from Tools
	XSL Script Processing	Netsh Helper DLL		Indicator Removal on Host
		New Service		Indirect Command Execution
		Office Application Startup		Install Root Certificate
		Path Interception		InstallUtil
		Plist Modification		Launchctl
		Port Knocking		LC_MAIN Hijacking
		Port Monitors		Masquerading
		PowerShell Profile		Modify Registry
		Rc.common		Mshta
		Re-opened Applications		Network Share Connection Removal
		Redundant Access		NTFS File Attributes
		Registry Run Keys / Startup Folder		Obfuscated Files or Information
		Scheduled Task		Parent PID Spoofing
		Screensaver		Plist Modification
		Security Support Provider		Port Knocking
		Server Software Component		Process Doppelgänging
		Service Registry Permissions Weakness		Process Hollowing
		Setuid and Setgid		Process Injection
		Shortcut Modification		Redundant Access
		SIP and Trust Provider Hijacking		Regsvcs/Regasm
		Startup Items		Regsvr32
		System Firmware		Rootkit
		Systemd Service		Rundll32
		Time Providers		Safe Mode Boot
		Trap		Signed Binary Proxy Execution
		Valid Accounts		Signed Script Proxy Execution
		Web Shell		SIP and Trust Provider Hijacking
		Windows Management Instrumentation Event Subscription		Software Packing
		Winlogon Helper DLL		Space after Filename
				Template Injection
				Timestomp
				Trusted Developer Utilities
				Valid Accounts
				Virtualization/Sandbox Evasion
				Web Service
				XSL Script Processing