MegaCortex utiliza la automatización más que sus antecesores para propagar la infección rápidamente a una mayor cantidad de víctimas.
Ciudad de México, a 9 de mayo de 2019. De acuerdo con Sophos, firma especializada en ciberseguridad, fueron registrados repentinamente una serie de ataques del malware MegaCortex, que muestra componentes manuales similares a Ryuk y BitPaymer, sin embargo se diferencia en que los criminales usan herramientas más automatizadas.
Hasta ahora, Sophos ha visto ataques automatizados, manuales y combinados, que generalmente se inclinan más hacia el uso de técnicas de piratería manual para moverse lateralmente; pero con MegaCortex se descubrió un mayor uso de la automatización junto con el componente manual, es decir, esta nueva fórmula está diseñada para propagar la infección a una mayor cantidad de víctimas más rápido.
Como se indica en el artículo de SophosLabs Uncut, MegaCortex Ransomware wants to be the One, no hay un valor explícito para la demanda de rescate. Los atacantes invitan a las víctimas a contactarse a cualquiera de las dos direcciones de correo electrónico gratuitas de mail.com y envían un archivo donde el ransomware se coloca en el disco duro de la víctima para solicitar “servicios” de descifrado. La nota de rescate también promete que los ciberdelincuentes “incluirán una garantía para que su compañía nunca más vuelva a ser molestada” si las víctimas pagan el rescate, pero persiste “también recibirá una consulta sobre cómo mejorar la seguridad cibernética de su empresa”.
“Sospechamos que se trata de un buen ejemplo de lo que llamamos pentesting (prueba de penetración) de los cibercriminales. Los atacantes de MegaCortex han adoptado el enfoque de amenaza combinada, con un mayor componente automatizado para atacar a más víctimas. Una vez que tienen las credenciales de administrador, no hay forma de detenerlos. Lanzar el ataque desde su propio controlador de dominio es una manera efectiva para que los atacantes hereden toda la autoridad que necesitan para impactar en toda la empresa. Las organizaciones deben prestar atención a los controles de seguridad básicos y realizar evaluaciones, antes de que lo hagan los delincuentes, para evitar que se muevan rápidamente”, señaló John Shier, asesor principal de seguridad de Sophos.
Recomendaciones de Sophos para protegerse ante MegaCortex:
- Si los administradores de TI ven alertas sobre infecciones de Emotet o Qbot, éstas deberían tener una alta prioridad. Estos dos bots pueden usarse para distribuir otro malware, y es posible que así haya sido el comienzo de las infecciones por MegaCortex.
- Como el ataque parece indicar que los delincuentes violaron una contraseña administrativa, también recomendamos la adopción generalizada de la autenticación de dos factores siempre que sea posible.
- Mantener copias de seguridad periódicas de los datos más importantes y actuales en un dispositivo de almacenamiento fuera de línea es la mejor manera de evitar tener que pagar un rescate.
- Utilizar una protección contra ransomware, como Sophos Intercept X, para bloquear MegaCortex y futuros ataques de ransomware.