Home » Nuevo Ransomware MegaCortex es encontrado en redes corporativas
CIBERSEGURIDAD

Nuevo Ransomware MegaCortex es encontrado en redes corporativas

MegaCortex, Nuevo Ransomware MegaCortex es encontrado en redes corporativas, SecureWeek

Se ha descubierto un nuevo ransomware llamado MegaCortex que está dirigido a las redes corporativas y las estaciones de trabajo en ellas. Una vez que se penetra en una red, los atacantes infectan toda la red distribuyendo el ransomware utilizando los controladores de dominio de Windows.

En un nuevo informe, Sophos ha declarado que han visto ataques en los Estados Unidos, Italia, Canadá, Francia, los Países Bajos e Irlanda por este nuevo ransomware.

Como este es un ransomware bastante nuevo, actualmente no se sabe mucho acerca de sus algoritmos de cifrado, exactamente cómo los atacantes obtienen acceso a una red y si se cumplen los pagos de rescate. 

El Ransomware MegaCortex

Como Sophos ha descubierto que los troyanos Emotet o Qakbot han estado presentes en redes que también se han infectado con MegaCortex, puede sugerir que los atacantes les estén pagando a los operadores de troyanos el acceso a los sistemas infectados de manera similar a Ryuk .

“En este momento, no podemos decir con certeza si los ataques de MegaCortex están siendo ayudados e instigados por el malware Emotet, pero hasta ahora en nuestra investigación (que todavía está en curso cuando se publique esta publicación), parece haber una correlación entre “Los ataques de MegaCortex y la presencia en la misma red de malware Emotet y Qbot (también conocido como Qakbot)”.

Si bien no está claro al 100% cómo los actores malos obtienen acceso a una red, las víctimas han informado a Sophos que los ataques se originan en un controlador de dominio comprometido.

En el controlador de dominio, Cobolt Strike se está eliminando y ejecutando para crear un shell inverso al host del atacante.

Usando este shell, los atacantes acceden de forma remota al controlador de dominio y lo configuran para distribuir una copia de PsExec, el ejecutable de malware principal y un archivo por lotes a todas las computadoras de la red. Luego ejecuta el archivo por lotes de forma remota a través de PsExec.

Los archivos por lotes vistos por Sophos terminarán 44 procesos diferentes, detendrán 199 servicios de Windows y deshabilitarán 194 servicios.

MegaCortex, Nuevo Ransomware MegaCortex es encontrado en redes corporativas, SecureWeek
Procesos de eliminación de archivos por lotes

Después de detener todos los servicios que evitan que el malware se ejecute o que los archivos se cifren, el archivo de proceso por lotes ejecutará el archivo de malware principal llamado winnit.exe .

MegaCortex, Nuevo Ransomware MegaCortex es encontrado en redes corporativas, SecureWeek
Ejecutando el componente ransomware

El investigador de Sophos, Andrew Brandt, dijo a BleepingComputer  que el ejecutable winnit.exe se lanzará con una cadena codificada en base64 como argumento. El uso del argumento correcto hará que el malware extraiga una DLL con nombre aleatorio y la ejecute utilizando rundll32.exe.

Esta DLL es el componente de ransomware real que encripta una computadora.

Al cifrar una computadora, el ransomware agregará una extensión, que en un caso es aes128ctr,   a los nombres de archivos encriptados. Esto significa que un archivo denominado marketing.doc se cifrará y se cambiará a marketing.doc.aes128ctr. No se sabe si estas extensiones son estáticas.

También creará un archivo con el mismo nombre que la DLL aleatoria y agregará la extensión .tsv, como arbcxdfx.tsv. En la parte superior de este archivo habrá una cadena codificada en base64, que puede ser la clave de descifrado cifrada.

Para cada archivo encriptado, agregará el nombre del archivo al archivo tsv, así como una cadena codificada en base64 y dos cadenas de 40 caracteres hexadecimales separadas por espacios utilizando el formato a continuación. BleepingComputer ha visto muestras de estos archivos, pero debido a la naturaleza personal de los datos contenidos, no los compartiremos en esta publicación.

[file name] [base64 encoded string] [40 hex character string] [40 hex character string] 

No se sabe qué representan estos datos, pero el atacante afirma que están cifradas las “claves de sesión” necesarias para descifrar la computadora de la víctima.

Finalmente, el ransomware crea una nota de rescate llamada  !!! _ READ_ME _ !!!. Txt que contiene información que explica qué sucedió y direcciones de correo electrónico que se pueden usar para contactar a los atacantes. Las direcciones de correo electrónico son actualmente  [email protected] y [email protected] .

MegaCortex, Nuevo Ransomware MegaCortex es encontrado en redes corporativas, SecureWeek
MegaCortex Ransom Note

Carga útil secundaria presente

Además de la carga útil de MegaCortex Ransomware, Sophos ha encontrado lo que ellos llaman “componentes principales secundarios” en la computadora. Los detalles de algunas de estas cargas útiles se enumeran al final del informe de Sophos.

El investigador de seguridad  Vitali Kremez  examinó algunas de estas cargas útiles secundarias y en una conversación con BleepingComputer explicó que estos archivos son  Rietspoof .

Rietspoof es un sistema de entrega de etapas múltiples que se utiliza para soltar múltiples cargas de malware en una computadora. Debido a esto, no se sabe si este es el malware que elimina MegaCortex o si se instala junto con él como una carga útil secundaria.

Promete una consulta de seguridad cibernética.

Como parte del acuerdo para hacer un pago de rescate, los desarrolladores de MegaCortex afirman que nunca más los molestarán. Aún mejor, les ofrecerán una consulta gratuita de seguridad cibernética.

“El precio del software incluirá una garantía de que su empresa nunca será molestada por nosotros. También recibirá una consulta sobre cómo mejorar la seguridad informática de su empresa”.

Si bien no estoy seguro de que alguna víctima quiera una consulta de sus atacantes, es posible que estén dispuestos a explicar cómo obtuvieron acceso a la computadora.

Protegiéndose del MegaCortex Ransomware

Como el ransomware solo es perjudicial si no tiene forma de recuperar sus datos, lo más importante es tener siempre una copia de seguridad confiable de sus archivos. Estas copias de seguridad se deben almacenar fuera de línea y no se deben hacer accesibles al ransomware, que se  sabe que se dirigía a las copias  de seguridad en el pasado.

Si bien este ransomware no se está propagando a través del correo no deseado, es posible que lo estén instalando los troyanos que lo están. Por lo tanto, es importante que todos los usuarios estén capacitados sobre cómo identificar correctamente el spam malicioso y no abrir ningún archivo adjunto sin antes confirmar quién y por qué se enviaron.

Finalmente, también es importante asegurarse de que su red no haga que los Servicios de escritorio remoto sean de acceso público a través de Internet. En su lugar, debe ponerlo detrás de un firewall y hacerlo solo accesible a través de una VPN.

Actualización 5/6/19: Este artículo se actualizó para reflejar que los clientes de Sophos no estaban infectados con este ransomware.

X