Cyberthreat.id – Peneliti dari Bleeping Computer, mengungkapkan bahwa operasi ransomware Medusa telah mulai meningkat pada tahun 2023, dan menargetkan korban perusahaan di seluruh dunia dengan permintaan tebusan jutaan dolar.

Dikutip dari Bleeping Computer, operasi Medusa dimulai pada Juni 2021 tetapi aktivitasnya relatif rendah, dengan sedikit korban. Namun, pada tahun 2023 geng ransomware meningkat aktivitasnya dan meluncurkan 'Blog Medusa' yang digunakan untuk membocorkan data korban yang menolak membayar uang tebusan.

“Medusa mendapat perhatian media minggu ini setelah mereka mengaku bertanggung jawab atas serangan di distrik Sekolah Umum Minneapolis (MPS) dan membagikan video data yang dicuri,” kata peneliti Bleeping Computer.

Banyak keluarga malware menyebut diri mereka Medusa, termasuk botnet berbasis Mirai dengan kemampuan ransomware, malware Android Medusa, dan operasi ransomware MedusaLocker yang dikenal luas. Karena nama yang umum digunakan, ada beberapa laporan yang membingungkan tentang keluarga ransomware ini, dengan banyak yang mengira itu sama dengan MedusaLocker.

Namun, operasi ransomware Medusa dan MedusaLocker sama sekali berbeda. Operasi MedusaLocker diluncurkan pada 2019 sebagai Ransomware-as-a-Service, dengan banyak afiliasi, catatan tebusan yang biasa disebut How_to_back_files.html, dan beragam ekstensi file untuk file terenkripsi.

Operasi MedusaLocker menggunakan situs web Tor di qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion untuk negosiasi. Namun, operasi ransomware Medusa diluncurkan sekitar Juni 2021 dan telah menggunakan catatan tebusan bernama !!!READ_ME_MEDUSA!!!.txt dan ekstensi file terenkripsi statis .MEDUSA.

“Operasi Medusa juga menggunakan situs web Tor untuk negosiasi tebusan, namun situs mereka terletak di medusacegu2ufmc3kx2kkqicrlcxdettsjcenhjena6uannk5f4ffuyd.onion,” kata peneliti.

BleepingComputer hanya dapat menganalisis enkripsi Medusa untuk Windows, dan tidak diketahui apakah mereka memilikinya untuk Linux saat ini. Enkripsi Windows akan menerima opsi baris perintah yang memungkinkan aktor ancaman mengonfigurasi cara file dienkripsi pada perangkat, seperti yang ditunjukkan di bawah ini.

Misalnya, argumen baris perintah -v akan menyebabkan ransomware menampilkan konsol, menampilkan pesan status saat mengenkripsi perangkat. Dalam proses reguler, tanpa argumen baris perintah, ransomware Medusa akan menghentikan lebih dari 280 layanan dan proses Windows untuk program yang dapat mencegah file dienkripsi. Ini termasuk layanan Windows untuk server email, server basis data, server cadangan, dan perangkat lunak keamanan. Ransomware kemudian akan menghapus Windows Shadow Volume Copies untuk mencegahnya digunakan untuk memulihkan file.

Pakar ransomware Michael Gillespie juga menganalisis enkripsi dan memberi tahu BleepingComputer bahwa ia mengenkripsi file menggunakan enkripsi AES-256 + RSA-2048 menggunakan perpustakaan BCrypt. Gillespie mengatakan bahwa metode enkripsi yang digunakan di Medusa berbeda dengan yang digunakan di MedusaLocker.

Saat mengenkripsi file, ransomware akan menambahkan ekstensi .MEDUSA ke nama file terenkripsi, seperti yang ditunjukkan di bawah ini. Misalnya, 1.doc akan dienkripsi dan diganti namanya menjadi 1.doc.MEDUSA.

Di setiap folder, ransomware akan membuat catatan tebusan bernama !!!READ_ME_MEDUSA!!!.txt yang berisi informasi tentang apa yang terjadi pada file korban. Catatan tebusan juga akan menyertakan informasi kontak ekstensi, termasuk situs kebocoran data Tor, situs negosiasi Tor, saluran Telegram, ID Tox, dan alamat email key.medusa.serviceteam@protonmail.com.

Sebagai langkah ekstra untuk mencegah pemulihan file dari cadangan, ransomware Medusa akan menjalankan perintah berikut untuk menghapus file yang disimpan secara lokal yang terkait dengan program cadangan, seperti Pencadangan Windows. Perintah ini juga akan menghapus hard disk virtual (VHD) yang digunakan oleh mesin virtual. Situs negosiasi Tor menyebut dirinya "Obrolan Aman", di mana setiap korban memiliki ID unik yang dapat digunakan untuk berkomunikasi dengan geng ransomware.

Seperti kebanyakan operasi ransomware penargetan perusahaan, Medusa memiliki situs kebocoran data bernama 'Medusa Blog.' Situs ini digunakan sebagai bagian dari strategi pemerasan ganda geng, di mana mereka membocorkan data korban yang menolak membayar uang tebusan. Ketika seorang korban ditambahkan ke kebocoran data, datanya tidak segera dipublikasikan.

Sebaliknya, pelaku ancaman memberikan opsi berbayar kepada korban untuk memperpanjang hitungan mundur sebelum data dirilis, menghapus data, atau mengunduh semua data. Masing-masing opsi ini memiliki harga yang berbeda, seperti yang ditunjukkan di bawah ini. Ketiga opsi ini dilakukan untuk memberikan tekanan ekstra pada korban untuk menakut-nakuti mereka agar membayar uang tebusan. Sayangnya, tidak ada kelemahan yang diketahui dalam enkripsi Medusa Ransomware yang memungkinkan korban memulihkan file mereka secara gratis.