Da Wired.it :
Nella mitologia greca Medusa è una delle tre Gorgoni, trasformata in mostro da Atena e condannata a pietrificare chiunque incontrasse il suo sguardo. Una figura spaventosa, nota per la chioma fatta di serpenti, che ancora oggi fa parlare di sé. Nel mondo della cybersicurezza, infatti, è già da un po’ che la gang che si fa chiamare Medusa si è fatta notare per aver sottratto dati a moltissime aziende, chiedendo in cambio riscatti piuttosto onerosi. Non a caso, proprio la scorsa settimana i cybercriminali hanno attirato l’attenzione dei media per aver rivendicato un attacco alle scuole pubbliche di Minneapolis, e aver condiviso in rete i dati rubati in quell’occasione.
Ma nonostante la gang si sia più volte assunta la responsabilità degli attacchi, c’è ancora molta confusione intorno al nome “Medusa”. La denominazione, infatti, sembra essere molto comune nella cyber criminalità. Allo stato attuale identifica una botnet basata su Mirai, un malware Android e il ben noto ransomware MedusaLocker, spesso confuso con quello Medusa. Eppure, tra i due c’è una grande differenza. L’operazione MedusaLocker è stata lanciata nel 2019 come “Ransomware-as-a-Service”, con numerosi affiliati e una nota di riscatto pubblicata in un file html. Al contrario, il ransomware Medusa è in circolazione da giugno 2021 e si contraddistingue per l’uso dell’estensione di file crittografata statica .MEDUSA e per la nota di riscatto pubblicata in un file di testo (!!!READ_ME_MEDUSA!!!.txt).
Chiarita la differenza, concentriamoci esclusivamente sull’attività di Medusa. In questi giorni, infatti, il portale Bleeping Computer è riuscito a scoprire il modo in cui la gang attacca i dispositivi Windows. Secondo quanto riportato, il ransomware è in grado di terminare oltre 280 servizi e processi di Windows che potrebbero impedire la crittografia dei file, inclusi server di posta, server di database e software di sicurezza. A questo punto, elimina le copie shadow del volume di Windows per impedire che vengano utilizzate per recuperare i file. Tutti i file crittografati acquisiscono l’estensione .MEDUSA, e il ransomware crea una nota di riscatto contenente le informazioni su ciò che è accaduto ai file della vittima e una serie di altre informazioni utili di contatto, come il canale Telegram, l’indirizzo del sito Tor per la negoziazione e l’indirizzo email Proton. Inoltre, per impedire il ripristino dei file dai backup, Medusa elimina anche i file archiviati localmente associati a programmi di backup (inclusi quelli dei dischi rigidi virtuali).