Se ha descubierto un nuevo ransomware llamado MegaCortex, el cual está dirigido a redes corporativas y con ello, a las estaciones de trabajo. Una vez que se tiene acceso, los atacantes infectan toda la red distribuyendo el ransomware, utilizando los controladores de dominio de Windows.
En el informe, se muestra las primeras víctimas, ubicadas en los Estados Unidos, Italia, Canadá, Francia, los Países Bajos e Irlanda infectados con este nuevo ransomware. Como este es un ransomware bastante nuevo, actualmente no se sabe mucho acerca de sus algoritmos de cifrado, o exactamente cómo los atacantes obtienen acceso a una red.
En la investigación se señala que los troyanos Emotet y Qakbot han estado presentes en las redes que también se han infectado con MegaCortex, lo que permite plantear una hipótesis en que los atacantes estén pagando a los operadores de troyanos para obtener acceso a los sistemas infectados de manera similar a lo que ocurrió con el Ransomware Ryuk.
Como se mencionaba al inicio, los ataques se originan en un controlador de dominio comprometido. En el controlador de dominio, Cobolt Strike (herramienta de post-explotación) es cargado en la máquina y es ejecutado para crear un shell inverso en el host del atacante.
Usando este shell, los atacantes acceden de forma remota al controlador de dominio y lo configuran para distribuir una copia de PsExec.exe (herramienta CMD de conexión remota), el ejecutable del malware principal y un archivo por lotes en todas las computadoras de la red. Luego ejecuta el archivo por lotes de forma remota a través de PsExec.exe.
Los archivos por lotes se encargan de terminar con 44 procesos diferentes, 199 servicios de Windows y deshabilitan 194 servicios. Después de detener todos los servicios que evitan que el malware se ejecute o que los archivos se cifren, el archivo de proceso por lotes ejecutará el archivo de malware principal llamado winnit.exe. y finalmente este ejecutable extrae una DLL con nombre aleatorio y es ejecutada utilizando rundll32.exe. Esta DLL es el componente clave del ransomware que se encarga de encriptar la computadora.
El ransomware agrega una extensión, en este caso, .aes128ctr, a los archivos encriptados. Finalmente, el ransomware crea una nota de rescate llamada !!! _ READ_ME _ !!!.txt que contiene información del ataque, junto con las direcciones de correo electrónico que se pueden usar para contactar a los atacantes y pagar el rescate.
REFERENCIA
COMENTARIOS