NetWorld - Blog

De acordo com a Trend Micro, o ransomware MegaCortex foi, segundo informações públicas, usado para atacar redes corporativas de grande porte, além de estações de trabalho, nos EUA, Canadá e algumas partes da Europa.

O ransomware é detectado pelas soluções de segurança da empresa como RANSOM.WIN32.CORTEX.SM.

Ransomware MegaCortex identificado em ataques a redes corporativas

A empresa de cibersegurança Sophos identificou um aumento súbito de atividade do MegaCortex na última sexta-feira, constatando que 47 ataques foram bloqueados em 48h, o que soma 2/3 de todos os ataques com este ransomware específico. Este surto recente não é o mais recente deste ransom, cuja primeira amostra foi distribuída em janeiro, no site de compartilhamento VirusTotal.

Ao menos uma vítima informou que o ataque do ransomware MegaCortex foi originado a partir de controles de domínio comprometidos dentro da rede da empresa, mas não está claro como os criminosos acessaram a rede inicialmente.

Depois de dominar os controles, os invasores os reconfiguraram para distribuir um arquivo de batch, renomeado como PsExec, e o winnit.exe, que é um dos principais executáveis do malware, para os computadores da rede. Em sequência, eles rodam o arquivo de batch remotamente; este arquivo vai, então, finalizar os processos do Windows e interromper os serviços que possam interferir com as rotinas do ransomware.

O batch passa, então, a executar o winnit.exe, o principal arquivo do malware, durante um tempo determinado e com o argumento específico do Base64. Se executado corretamente, este malware vai buscar arquivos para criptografar e soltar uma nota de pedido de resgate. Ele também vai extrair um arquivo DLL nomeado aleatoriamente e executa-lo com o rundll32.exe. Este DLL é o componente que vai criptografar os arquivos da máquina. Primeiramente, ele verifica se o arquivo está acessível; não estando, ele simplesmente vai registrar o arquivo. Já em caso positivo, ele criptografa o alvo. O processo DLL se encerra após um determinado número de tentativas, e se reinicia automaticamente.

Ao criptografar os arquivos da vítima, o ransomware MegaCortex vai anexar a extensão ‘.aes128ctr.tsv‘ e gravá-la no HD. O pedido de resgate dos criminosos instrui o usuário a enviar este arquivo de volta a eles, pois é ele que contém a chave necessária para a descriptografia. A nota de resgate, em si, é um .txt e não pede o típico pagamento em criptomoedas, exigindo a compra do software dos criminosos.

Em adição ao conteúdo inicial, o malware também baixa componentes secundários que os pesquisadores identificaram como sendo o malware Rietspoof, um sistema usado para instalar diversos conteúdos simultaneamente em um mesmo dispositivo.

Protegendo-se contra o ransomware MegaCortex

Usuários individuais e empresas devem seguir as boas práticas para se proteger contra este perigo: fazer backups regulares, manter o sistema e os aplicativos atualizados, colocar em uso o princípio do mínimo privilégio, e implementar uma defesa aprofundada – estabelecendo uma defesa sólida em cada camada da empresa, incluindo perímetro, gateways, redes, endpoints e servidores.