MegaCortex, un nuevo ransomware dirigido a redes corporativas


Se ha descubierto un nuevo ransomware llamado MegaCortex, el cual está dirigido a redes corporativas y con ello, a las estaciones de trabajo. Una vez que se tiene acceso, los atacantes infectan toda la red distribuyendo el ransomware, utilizando los controladores de dominio de Windows.

En el informe, se muestra las primeras víctimas, ubicadas en los Estados Unidos, Italia, Canadá, Francia, los Países Bajos e Irlanda infectados con este nuevo ransomware. Como este es un ransomware bastante nuevo, actualmente no se sabe mucho acerca de sus algoritmos de cifrado, o exactamente cómo los atacantes obtienen acceso a una red.

En la investigación se señala que los troyanos Emotet y Qakbot han estado presentes en las redes que también se han infectado con MegaCortex, lo que permite plantear una hipótesis en que los atacantes estén pagando a los operadores de troyanos para obtener acceso a los sistemas infectados de manera similar a lo que ocurrió con el Ransomware Ryuk.

Como se mencionaba al inicio, los ataques se originan en un controlador de dominio comprometido. En el controlador de dominio, Cobolt Strike (herramienta de post-explotación) es cargado en la máquina y es ejecutado para crear un shell inverso en el host del atacante.

Usando este shell, los atacantes acceden de forma remota al controlador de dominio y lo configuran para distribuir una copia de PsExec.exe (herramienta CMD de conexión remota), el ejecutable del malware principal y un archivo por lotes en todas las computadoras de la red. Luego ejecuta el archivo por lotes de forma remota a través de PsExec.exe.

Los archivos por lotes se encargan de terminar con 44 procesos diferentes, 199 servicios de Windows y deshabilitan 194 servicios. Después de detener todos los servicios que evitan que el malware se ejecute o que los archivos se cifren, el archivo de proceso por lotes ejecutará el archivo de malware principal llamado winnit.exe. y finalmente este ejecutable extrae una DLL con nombre aleatorio y es ejecutada utilizando rundll32.exe. Esta DLL es el componente clave del ransomware que se encarga de encriptar la computadora.

El ransomware agrega una extensión, en este caso, .aes128ctr,  a los archivos encriptados. Finalmente, el ransomware crea una nota de rescate llamada  !!! _ READ_ME _ !!!.txt que contiene información del ataque, junto con las direcciones de correo electrónico que se pueden usar para contactar a los atacantes y pagar el rescate.


REFERENCIA

COMENTARIOS

Nombre

Adware,3,android,13,Antivirus,1,Apple,7,Apps,5,Arkavia Networks,8,Ataques,2,Backdoor,2,Bancos,3,Botnet,1,Botnet. Malware,1,Check Point,1,Cibercrimen,63,ciberseguridad,49,Cloud,1,CMS,1,CPU,1,Criptomonedas,3,cyber day,1,Cyberwarfare,2,Dark Web,1,Data Leak,3,Deep Web,4,Empresas,71,Eventos,2,Exploits,2,F5 Networks,1,Facebook,5,Firmware,1,google,22,Hacking,27,Hardware,3,Industria,4,Instagram,1,Intel,2,Internacional,22,Internet,23,IoT,2,Linux,1,Malware,4,Malwares,32,Microsoft,10,Nacional,7,Negocios,1,Oracle,1,OS,2,phishing,8,Protocolos,5,Recomendaciones,12,Redes,21,redes sociales,9,Rootkit,1,Salud,1,Smartphones,10,Software,7,Spyware,3,updates,14,Vulnerabilidades,32,Web,1,wifi,1,
ltr
item
Arkavia Networks News: MegaCortex, un nuevo ransomware dirigido a redes corporativas
MegaCortex, un nuevo ransomware dirigido a redes corporativas
https://2.bp.blogspot.com/-VeURjEUtmfA/XNBFLUt1dVI/AAAAAAAABag/PPczjuhhTJQiWiwqpFYSv2NhsJfAZhx9ACLcBGAs/s640/MegaCortex.jpg
https://2.bp.blogspot.com/-VeURjEUtmfA/XNBFLUt1dVI/AAAAAAAABag/PPczjuhhTJQiWiwqpFYSv2NhsJfAZhx9ACLcBGAs/s72-c/MegaCortex.jpg
Arkavia Networks News
https://www.arkalabs.cl/2019/05/megacortex-un-nuevo-ransomware-dirigido.html
https://www.arkalabs.cl/
https://www.arkalabs.cl/
https://www.arkalabs.cl/2019/05/megacortex-un-nuevo-ransomware-dirigido.html
true
7213111567211435179
UTF-8
Se han cargado todas las publicaciones No se ha encontrado ninguna publicación. Ver Todos Leer Noticia Responder Cancelar Respuesta Eliminar Por Inicio PÁGINAS ENTRADAS View All RECOMENDADO PARA TI ETIQUETA ARCHIVOS BUSQUEDA TODAS LAS ENTRADAS No se ha encontrado ninguna coincidencia de publicación con su solicitud. Volver al Inicio Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share. STEP 2: Click the link you shared to unlock Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy