Billede: Sophos Labs
×
megacortex.jpg
BRITISKE it-sikkerhedsfirma Sophos rapporterede at registrere en stigning i ransomware angreb i slutningen af sidste uge fra en ny stamme, opkaldt MegaCortex.
Sophos sagde ransomware ser ud til at have været designet til at målrette store virksomhedsnetværk som en del af en nøje planlagt målrettet indtrængen –i en taktik, der er kendt som “big-game jagt.”
Modus operandi er ikke ny og har været den foretrukne metode til at levere ransomware for næsten et halvt år.
MegaCortex nu slutter sig til en stadigt voksende liste af ransomware stammer, at cyber-kriminelle grupper, der kun bruger i målrettede angreb, snarere end med spam eller andre massive udbredelse teknikker. Listen indeholder nogle genkendelige navne, såsom Ryuk, Bitpaymer, Dharma, SamSam, LockerGoga, og Matrix.
Pludselige stigning i angreb i denne måned
Ifølge en rapport Sophos udgivet sent fredag aften i sidste uge, MegaCortex blev første gang opdaget tilbage i slutningen af januar, når der er nogen, der er uploadet en prøve på malware scanning service VirusTotal.
Siden da, er antallet af angreb har været stigende, men de spidse midten af sidste uge, da Sophos siger, at det opdaget 47 angreb –tegner sig for to tredjedele af alle de 76 MegaCortex angreb virksomheden har set hele året.
Sophos siger, at det blokerede angreb er det fundet, der stammede fra virksomhedens netværk beliggende i Usa, Canada, Holland, Irland, Italien, og Frankrig. Der er imidlertid også andre angreb kan være opstået andre steder, hvor den BRITISKE leverandør af antivirussoftware havde ingen dækning.
Rietspoof infektion vektor?
Mens Sophos var ikke i stand til at fastslå med sikkerhed, hvordan MegaCortex fik på inficerede værter, flere cyber-sikkerhed forskere tweeted i weekenden, at ransomware ser ud til at være faldet på angrebet netværk via en malware loader opkaldt Rietspoof.
Vi har også besluttet at oprette en simpel #YARA regel at registrere #rietspoof loader anvendes med #megacortex https://t.co/la1527yJiH @McAfee_Labs
— Marc Rivero López (@Seifreed) 6 Maj 2019
Ja, faktisk. Så det ser ud til at være #Rietspoof loader fundet en del af den #MegaCortex installation hmm. Det er et interessant twist, faktisk, da denne loader så meget velkendt for mig,😉. @malwrhunterteam fandt det første her -> https://t.co/xvXnyD5mco
— Vitali Kremez (@VK_Intel) 4 Maj 2019
Dette er en ny tilgang i forhold til tidligere “målrettet ransomware angreb”, der enten har påberåbt sig:
– hacker grupper brute-forcing svagt-sikret RDP endpoints
– slippe ransomware som en second-stage nyttelast på arbejdsstationer tidligere inficeret med Emotet eller Trickbot trojanske heste.
Men på trods af levering metode, MegaCortex ser ud til at være lige så farlige som de andre “store-spillet jagt” ransomware stammer, med hackere hurtigt eskalerer deres adgang til en domænecontroller, hvor de forsøger at installere ransomware at så mange interne arbejdsstationer som muligt.
Da dette synes at være en fælles praksis for de fleste ransomware familier, der bliver brugt i målrettede angreb, Sophos forskere anbefaler, at virksomheder vedtager to-faktor-autentificering for interne netværk, og især for central management-servere.
Ofre kan genkende ransomware af den tilfældige otte tegn forlængelse tilføjer det til krypterede filer, men også sin løsesum bemærk, der er indlejret nedenfor.
Billede: Sophos Labs
×
megacortex-løsesum-bemærk.png
Relaterede malware og it-kriminalitet dækning:
En hacker er tørre Git-depoter og beder om en ransomHackers stjæle data fra 201 online campus butikker fra Canada og USWindows Server hosting udbyder stadig ned en uge efter ransomware attackMysterious hacker har været at sælge Windows 0-dage til APT grupper for tre yearsMalvertiser bag 100+ millioner dårlige annoncer anholdt og udleveret til USHacker tager over 29 IoT botnetsHackers udgive Microsoft mere end noget andet mærke i phishing-angreb TechRepublicGame of Thrones er den mest malware af enhver piratkopierede TV-show CNET
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre