Ciudad de México a 21 de mayo de 2019. A partir del primero de mayo, Sophos, firma especializada en ciberseguridad, registró un nuevo ransomware llamado MegaCortex, que ha estado atacando a organizaciones de todo el mundo.
El código malicioso de MegaCortex se han distribuido desde una máquina de controlador de dominio en la red interna, utilizando credenciales administrativas robadas para iniciar sesión, transferir y ejecutar el malware en la red de la víctima.
Sophos informó que los atacantes usan la automatización junto con el componente manual, lanzando archivos por lotes para llevar a cabo sus ataques. Esta nueva fórmula está diseñada para propagar la infección de manera rápida a una mayor cantidad de víctimas. Cuando se ejecutan sus archivos, suprime a una gran cantidad de procesos y servicios, muchos de los cuales se encargan de impedir que el cifrado continue.
En primer lugar, el malware está compuesto por dos archivos:
- El archivo por lotes STOP. bat, utilizado para iniciar MegaCortex, y WINNIT. exe,
- El ejecutable de malware en sí (hasta ahora, llamado WINNIT. exe), que hace el cifrado.
Estos archivos utilizan dos métodos diferentes para llevar a cabo el ataque:
1.- Intentan copiar el ejecutable ransomware y su archivo por lotes lanzador a las máquinas a través de la red de área local (LAN) del objetivo.
2.- Ejecutan el archivo por lotes lanzador utilizando: MI y PsExec. Cada archivo es una larga lista del mismo comando, apuntando a cada máquina una tras otra.
Además, el informe de Sophos registró una dirección real ubicada en el suburbio londinense de Romford, vinculada a más de 74 mil empresas registradas en el Reino Unido. Y encontró evidencia que se ha ocupado esta dirección para firmar certificados digitales utilizados para los archivos maliciosos.
“MegaCortex no es tímido para la cámara y no intenta ocultar su presencia. Sin embargo, cuenta con una forma meticulosa de dirigir el malware ya que no le importa su enfoque una vez dentro de la red. El resultado de sus ataques han sido una ráfaga accidental de advertencias en los registros de sucesos de DC sobre los intentos fallidos de WMI cuando el actor de amenazas lanza el ataque de forma redundante”. Andrew Brandt, investigador principal de Sophos.
Recomendaciones de Sophos para protegerse ante MegaCortex:
- Si los administradores de TI detectan alertas sobre infecciones de Emotet o Qbot, éstas deberían tener una alta prioridad. Estos dos bots pueden usarse para distribuir otro malware, y es posible que así haya sido el comienzo de las infecciones por MegaCortex.
- Como el ataque parece indicar que los delincuentes violaron una contraseña administrativa, también recomendamos la adopción generalizada de la autenticación de dos factores siempre que sea posible.
- Mantener copias de seguridad periódicas de los datos más importantes y actuales en un dispositivo de almacenamiento fuera de línea es la mejor manera de evitar tener que pagar un rescate.
- Utilizar una protección contra ransomware, como Sophos Intercept X, para bloquear MegaCortex y futuros ataques de ransomware.