نسخه جدید Medusa کشف شد

نسخه جدیدی از بات‌نت Medusa کشف شده است که قابلیت انجام حملات باج افزاری، Brute Force و DDoS را دارد.

به تازگی نسخه جدیدی از بات‌نت Medusa ظهور یافته که علاوه بر قابلیت انجام حملات DDoS، قابلیت Brute Force سرویس Telnet و حملات باج افزاری را نیز دارد. این بدافزار از سورس کد منتشر شده mirai اقتباس شده و کاربران لینوکسی را مورد هدف قرار داده است.

اخیرا نسخه جدیدی از بات‏‌نت mirai کشف شده که بات‏‌نت جدیدی با نام Medusa را دانلود و منتشر می‏ کند. این بات‏‌نت قابلیت اجرای حملات Denial of Service در سطوح مختلف سلسله مراتب شبکه شامل لایه‏‌های ۳، ۴ و ۷ را دارد. این حملات با استفاده از آدرس IP ماشین‌‏های قربانیان یا آدرس‌‏های IP جعلی انجام می‌‏شود. این بات‏‌نت همچنین می‌‏تواند روی ماشین‏‌های هدف، حملات باج‏‌افزاری انجام دهد. برای رمز کردن فایل‏‌های سیستم از الگوریتم رمزنگاری AES 256-bit استفاده کرده و به انتهای فایل‏ های رمز شده پسوند .medusastealer را اضافه‏ می ‏کند. پس از رمز کردن فایل‏ها، بدافزار به مدت ۲۴ ساعت صبر کرده و سپس تمامی فایل‏ها را از سیستم حذف می‏‌کند. در نهایت باج‌افزار پیام دریافت باج که حاوی راهنمای بازگشایی فایل‏های رمز شده است به کاربر نمایش می‏‌دهد. البته نمایش این پیام پس از حذف فایل‏ها، باگ بدافزار است که نشان دهنده این است که بدافزار هنوز در حال توسعه است و انتظار نسخه ‏های پیشرفته‏‌تری از آن می‏ رود.

Medusa همچنین می‌‏تواند دستگاههای متصل به اینترنت را به منظور شناسایی سرویس‌‏های Telnet اسکن کند و روی سرویس‌‏های Telnet حملات Brute Force انجام دهد. بدافزار همچنین قابلیت دریافت فرمان FivemBackdoor و sshlogin را دارد که اجازه دسترسی به درب پشتی بر روی سیستم قربانیان را می‏ دهد. Medusa همچنین اطلاعات مختلفی از سیستم شامل نام کاربری، نام میزبان، آدرس IP ، سیستم عامل، مصرف CPU و RAM، تعداد کل هسته‏ های CPU، شناسه یکتای سیستم را جمع ‏آوری و برای سرور راه دور به آدرس hxxps://medusa-stealer[.]cc/add/bot ارسال می ‏کند.

توصیه‌‏های امنیتی
توصیه می‌شود کاربران نسبت به انجام اقدامات زیر زودتر دست به کار شوند:

– استفاده از رمزعبورهای قوی و استفاده از احراز هویت چندفاکتوره تا جای ممکن
– به روز رسانی و ارتقای رایانه، تلفن همراه و سایر دستگاه‏ های متصل
– خودداری از بازکردن لینک‏‌ها و ضمیمه‏‌های ناشناخته بدون وارسی آن‌ها

منبع:

https://www.bleepingcomputer.com/news/security/medusa-botnet-returns-as-a-mirai-based-variant-with-ransomware-sting/