NUEVA CAMPAÑA DE LA BOTNET MEDUSA
NUEVA CAMPAÑA DE LA BOTNET MEDUSA
| 09/02/2023 | BOLETÍN NRO 2023-087 |
Recientemente ha aparecido una nueva versión de la red de bots DDoS llamado Medusa, el cual está basado en código Mirai, incluye un módulo de ransomware y un módulo de fuerza bruta para Telnet.
Servicios Afectados
• Sistemas operativos Windows
Detalles Tecnicos
|
Medusa es una antigua cepa de malware (que no debe confundirse con el troyano Android del mismo nombre) que se anuncia en los market de la darknet desde 2015, y que más tarde añadió capacidades DDoS basadas en HTTP en 2017.
Su versión más reciente se basa en el código fuente filtrado de la red de bots Mirai, heredando sus capacidades de ataque a Linux y sus amplias opciones de ataque DDoS.
Además, Medusa es ahora un MaaS (malware-as-a-service) para DDoS o minería a través de un portal dedicado. Promete estabilidad del servicio, anonimato del cliente, soporte, una API fácil de usar y un coste ajustable en función de las necesidades específicas.
Lo que resulta especialmente interesante en esta nueva variante de Medusa es una función de ransomware que le permite buscar en todos los directorios tipos de archivos válidos para su cifrado. La lista de tipos de archivos incluye principalmente documentos y archivos de diseño vectorial. Los archivos válidos se encriptan utilizando un cifrado AES de 256 bits y se añade la extensión ".medusastealer" al nombre de los archivos cifrados.
Sin embargo, el método de cifrado parece estar mal diseñado, lo que convierte al malware en un limpiador de datos. Tras cifrar los archivos del dispositivo, el malware permanece inactivo durante 86.400 segundos (24 horas) y borra todos los archivos de las unidades del sistema.
Solo después de borrar los archivos muestra una nota de rescate, se cree que se trata de un error en el código, ya que la destrucción de las unidades del sistema hace imposible que las víctimas puedan recuperar su información. Este error también indica que la nueva variante de Medusa o al menos esta característica, aún está en desarrollo.
Cabe destacar que, aunque la nueva versión de Medusa cuenta con una herramienta de exfiltración de datos, no roba los archivos de los usuarios antes de cifrarlos. En su lugar, se centra en recopilar información básica del sistema que ayuda a identificar a las víctimas y estimar los recursos que se pueden emplear para la minería y los ataques DDoS.
Medusa también cuenta con módulo de fuerza bruta que prueba nombres de usuario y contraseñas de uso común contra dispositivos conectados a Internet. Luego, si tiene éxito, intenta descargar un payload adicional.
A continuación, Medusa ejecuta el comando "zmap" para encontrar otros dispositivos con servicios Telnet que se ejecuten en el puerto 23 y luego intenta conectarse a ellos usando las direcciones IP recuperadas y una combinación de nombres de usuario y contraseñas.
Finalmente, al establecer una conexión Telnet, el malware infecta el sistema con el payload principal de Medusa ("infection_medusa_stealer").
Indicadores de Compromiso
Hash
MD5: ed64d941fd8603196c0e31ae58c1992d
SHA-256: 2491bb75c8a3d3b8728ab46a933cd81f8176c1f9d7292faeecea67d71ce87b5c
MD5: ed24c7c0b73887e35f1c12ab0dda98fe
SHA-256: bce94b214a6bae00b03ada34c66210d9143895d6c0be9e21c10e9951cc469fbf
MD5: e3a08ffb7106ece9612d3aa8078a8287
SHA-256: 87b5ba7da8aa64721baca0421a01e01bb1f1ca8a2f73daa3ca2f5857e353c182
MD5: 336674857b5ede1e09daeff1a14adedc
SHA-256: 2f2759b5933f06c9fdbc87ea941e8ef53ea0e3b715afd57de52ed2927d197c33
MD5: 1eee2293e51b01300c75b649715e472d
SHA-256: 5799ee35a334f839bb666a0136ca2615390d0b7fb6a14875bafbfab3414045e9
MD5: 14655930fab2319ff9cd5187a0caa242
SHA-256: 48f5f09ddd7089a9397d26e219eb1a1a937c3238f7ecdc7cdfc5383141d77ad9
Recomendaciones
Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:
Para el personal de seguridad de información:
• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.
• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.
• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.
• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.
• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.
** Antes de realizar el bloqueo de IoCs o aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.
Para usuarios finales:
• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.
• Escanear todo el software descargado de Internet antes de la ejecución.
• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.
Fuente
- Fuente 1: Medusa botnet returns as a Mirai-based variant with ransomware sting
- Fuente 2: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft
Contáctanos
Si usted tiene alguna consulta no dude en contactarse con nosotros:
Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com
Consultas comerciales: ventas@securesoftcorp.com
Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com
Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com
Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com
Publicador de contenidos
Reporte
125 Reporte Quincenal de Ciberinteligencia 2025
Reporte
124 Reporte Quincenal de Ciberinteligencia 2025
Reporte