Sophos ha descubierto una nueva y aterradora variedad de ransomware muy sofisticado llamado MegaCortex. Fue diseñado específicamente para atacar las redes corporativas y, una vez que penetran o cruzan el perímetro los atacantes infectan toda la red al instalar y ejecutar el ransomware en todos los servidores y estaciones de trabajo, utilizando sus propios controladores de dominio de Windows.
Sophos ha detectado infecciones en los Estados Unidos, Italia, Canadá, Francia, los Países Bajos e Irlanda, y el despliegue del ransomware sigue expandiéndose a muchos países.
Esta es una cepa bastante nueva, por lo que aún no se sabe mucho acerca de cómo funciona el cifrado, cómo se están introduciendo o si se están cumpliendo los pagos de rescate, etc., hay mucho por investigar aún.
Cómo ataca MegaCortex
Sophos hizo un descubrimiento importante, señalando que si los troyanos Emotet o Qakbot han estado presentes en redes que también se han infectado con MegaCortex, eso sugiere que los atacantes les están pagando a los operadores de troyanos el acceso a sistemas infectados como la cepa RYUK.
"En este momento, no podemos decir con certeza si los ataques de MegaCortex están siendo ayudados e instigados por el malware Emotet, pero hasta ahora en nuestra investigación (que todavía está en curso cuando se publique este artículo), parece haber una correlación entre los ataques de MegaCortex y la presencia en la misma red de malware Emotet y Qbot (también conocido como Qakbot)".
Propagación de MegaCortex en la red usando sus propios controladores de dominio de Windows
Aún no está claro al 100% cómo los actores (ciberdelincuentes) están accediendo a su red, pero las víctimas han informado a Sophos que los ataques se originan en un controlador de dominio comprometido. En el controlador de dominio, Cobolt Strike se está eliminando y ejecutando para crear una shell inversa de nuevo en el host de un atacante.
Usando esa shell, los atacantes toman el control del controlador de dominio y lo configuran para distribuir una copia de PsExec, el ejecutable del malware principal, y un archivo por grupos a todas los computadores en la red. Luego, ejecuta el archivo por grupos de forma remota a través de PsExec. Los archivos por grupos vistos por Sophos ejecutan 44 procesos diferentes, detienen 199 servicios de Windows y deshabilitan 194 servicios.
Durante el cifrado de un sistema, el ransomware agregará una extensión a los nombres de archivo, que en un caso es .aes128ctr. Esto significa, que un archivo denominado marketing.doc se cifrará y se cambiará a marketing.doc.aes128ctr. Aún no se sabe si estas extensiones son estáticas o dinámicas con cada infección.
Aquí hay una captura de pantalla de la nota ransomware:
Cargas útiles secundarias presentes
Además de la carga útil de MegaCortex Ransomware, Sophos ha encontrado lo que ellos llaman "componentes principales secundarios" en el computador. Los detalles de algunas de estas cargas útiles se enumeran al final del informe de Sophos.
El investigador de seguridad Vitali Kremez examinó algunas de estas cargas útiles secundarias y en una conversación con BleepingComputer explicó que estos archivos son Rietspoof. Rietspoof es un sistema de entrega de etapas múltiples que se utiliza para soltar múltiples cargas de malware en un computador. Debido a eso, todavía no se sabe si este es el malware que elimina MegaCortex o si se está instalando como una carga secundaria junto con él.
Cómo bloquear las infecciones por MegaCortex
Mantener copias de respaldo por seguridad fuera de la oficina principal, no accesibles al ransomware que a menudo se dirige a todas las copias de seguridad que puede ver.
Asegúrese de que su red no haga que los Servicios de RDP sean de acceso público a través de Internet. Coloque cualquier máquina que ejecute RDP detrás de un firewall y con acceso solo a través de una VPN.
Si bien este ransomware no se está propagando a través de correo no deseado, es posible que lo estén instalando troyanos que llegan a través del correo electrónico. Por eso es importante que capacite a sus usuarios para que identifiquen los ataques de phishing y no caiga en ataques de ingeniería social, engañándolos para que abran archivos adjuntos maliciosos que no solicitaron.
La capacitación sobre la concientización de seguridad es la nueva escuela para toda su organización y es tan importante como siempre.
Ponemos a disposición una herramienta de simulación de Ransomware
Para Inntesec en conjunto con KnowBe4 es fundamental apoyar a las organizaciones creando valor, colaborar y ayudar a mitigar las nuevas amenazas que pueden provocar pérdidas millonarias, para ello, ponemos a su disposición y totalmente gratuita una nueva herramienta de simulación de ransomware ahora con escenario de criptominería
RanSim con Cryptominer Simulation.
Los actores (ciberdelincuentes) constantemente salen con nuevas versiones de malware para evadir la detección. ¡Es por eso que hemos actualizado nuestra herramienta Ransomware Simulated "RanSim" para incluir un nuevo escenario de cifrado!
Este nuevo escenario de cifrado simula una operación de minería de criptomonedas Monero en la máquina local. Monero Mining es la criptomoneda más popular extraída por el malware del mundo real y requiere muchos ciclos de CPU y GPU para procesar los datos necesarios para generar las monedas.
Pruebe la NUEVA herramienta Ransomware Simulator y vea rápidamente la efectividad de su protección de red existente contra las amenazas más recientes.
RanSim simulará 13 escenarios de infección por ransomware y 1 escenario de infección por criptometría para mostrarle si una estación de trabajo es vulnerable a la infección.
Así es como funciona RanSim:
Simulación 100% inofensiva, crea escenarios de infección de ransomware y cryptomining reales.
No utiliza ninguno de sus propios archivos.
Pruebas 14 diferentes tipos de escenarios de infección.
Solo descarga la instalación y ejecútala.
Resultados en pocos minutos!.
Esta es una herramienta complementaria y te llevará 5 minutos máximo. ¡RanSim puede darle algunas ideas sobre la seguridad de sus endpoint que nunca esperó!.
Mayor información sobre el ransomware MegaCortex en: https://news.sophos.com/en-us/2019/05/03/megacortex-ransomware-wants-to-be-the-one/
Descargue la herramienta de Simulación de Ransomware en: https://info.knowbe4.com/ransomware-simulator-tool-1
Para recibir una visita de Inntesec y conocer el Security Awareness Program que incorpora:
Charlas Presenciales de Concientización en Ciberseguridad.
Programa eLearning de Ciberseguridad.
Plataforma Simulación de Ataques de Ethical Phishing.
Visítenos en nuestro sitio web https://www.inntesec.com o bien escríbanos a info@inntesec.com.
Fuente: Sophos, KnowBe4, Inntesec.