MegaCortex es un malware que se ha dejado ver poco hasta que el 1° de mayo se detectara un aumento significativo y repentino del mismo en múltiples países alrededor del mundo. Según Sophos, líder mundial en endpoint y seguridad de red, MegaCortex era un malware relativamente poco visto que creció repentinamente en volumen y tiene componentes manuales similares a Ryuk y BitPaymer, pero los adversarios detrás de éste usan herramientas más automatizadas para llevar a cabo el ataque.
Hasta ahora, Sophos ha visto ataques automatizados, manuales y combinados, que generalmente se inclinan más hacia el uso de técnicas de piratería manual para moverse lateralmente; pero con MegaCortex descubrió un mayor uso de la automatización junto con el componente manual. Esta nueva fórmula está diseñada para propagar la infección a una mayor cantidad de víctimas, más rápidamente.
Como se indica en el artículo de SophosLabs Uncut, MegaCortex Ransomware wants to be the One, no hay un valor explícito para la demanda de rescate. Los atacantes invitan a las víctimas a contactarse a cualquiera de las dos direcciones de correo electrónico gratuitas de mail.com y envían un archivo donde el ransomware se coloca en el disco duro de la víctima para solicitar «servicios» de descifrado. La nota de rescate también promete que los ciberdelincuentes «incluirán una garantía para que su compañía nunca más vuelva a ser molestada» si las víctimas pagan el rescate, y continúa «También recibirá una consulta sobre cómo mejorar la seguridad cibernética de su empresa».
“Sospechamos que se trata de un “mega bundle” para torpes y un buen ejemplo de lo que hemos estamos llamando un pentesting (prueba de penetración) de los cibercriminales. Los atacantes de MegaCortex han adoptado el enfoque de amenaza combinada y lo han aumentado a 11, con un mayor componente automatizado para atacar a más víctimas. Una vez que tienen las credenciales de administrador, no hay forma de detenerlos. Lanzar el ataque desde su propio controlador de dominio es una excelente manera para que los atacantes hereden toda la autoridad que necesitan para impactar en toda la empresa. Las organizaciones deben prestar atención a los controles de seguridad básicos y realizar evaluaciones, antes de que lo hagan los delincuentes, para evitar que se muevan rápidamente», señala John Shier, asesor principal de seguridad de Sophos.
Recomendaciones de Sophos para protegerse ante MegaCortex:
- Parece que existe una fuerte correlación entre la presencia de MegaCortex y una infección preexistente y continua en las redes de las víctimas con Emotet y Qbot. Si los administradores de TI ven alertas sobre infecciones de Emotet o Qbot, éstas deberían tener una alta prioridad. Estos dos bots pueden usarse para distribuir otro malware, y es posible que así haya sido el comienzo de las infecciones por MegaCortex.
- Sophos no ha visto, hasta el momento, ninguna indicación de abuso del Protocolo de Escritorio Remoto (RDP) para dividirse en las redes, pero sabemos que los agujeros en los firewalls empresariales que permiten que las personas se conecten a RDP siguen siendo relativamente comunes. Desaconsejamos esta práctica y sugerimos a cualquier administrador de TI que desee hacerlo que ponga a la máquina RDP detrás de una VPN.
- Como el ataque parece indicar que los delincuentes violaron una contraseña administrativa, también recomendamos la adopción generalizada de la autenticación de dos factores siempre que sea posible.
- Mantener copias de seguridad periódicas de sus datos más importantes y actuales en un dispositivo de almacenamiento fuera de línea es la mejor manera de evitar tener que pagar un rescate.
- Utilice una protección contra ransomware, como Sophos Intercept X, para bloquear MegaCortex y futuros ransomware.