Сканируя хосты на предмет инструментов для пентеста, исследователи обнаружили кампанию, связанную с MedusaLocker

21 июля 2022 года компания Censys заявила, что обнаружила несколько хостов, связанных с вымогательским ПО MedusaLocker. Подозрительные хосты удалось обнаружить с помощью необычного метода – сканирования хостов на предмет инструментов для пентеста.

Просканировав 7,4 миллиона российских хостов, на 9 из них компания обнаружила инструмент для пентеста Metasploit, а на одном – комбинацию из Acunetix, Posh и Deimos. Так как “комбо” из инструментов было собрано только на одном сервере, эксперты Censys посчитали, что такой набор инструментов не принадлежит компании, занимающейся пентестом. Подозрения оказались не напрасными. Проанализировав сертификаты, данные о хостах и “отпечатки пальцев”, собранные с помощью Jarm, специалисты обнаружили дополнительные хосты по всему миру, связанные с вымогательским ПО MedusaLocker.

По словам исследователей компании, вся найденная ими информация и образцы вредоносного ПО говорят о том, что компьютеры жертв становились прокси-серверами, используемыми для маскировки атак и переводов криптовалюты. Censys обнаружила жертв в США (штаты Вирджиния, Огайо, Нью-Джерси и Калифорния), Тайване, Китае и Нидерландах. Сейчас специалисты пытаются связаться с жертвами, чтобы помочь им защититься от вредоносного ПО.