In tre anni, che Non c’è Più Riscatto progetto ha contribuito a 200.000 utenti
Non Più Riscatto progetto ha impedito ransomware profitti di almeno $108 milioni di euro.
Una nuova variante di MegaCortex ransomware è che si fa strada tra l’Europa e gli Stati Uniti, lasciando il ricatto esigenze di milioni di euro nella sua scia.
Accenture iDefense ricercatori hanno descritto le campagne facendo uso di MegaCortex v. 2 in un post sul blog lunedì. Secondo Leo Fernandes, Senior Manager del Malware Analisi e Contromisure (MAC) del team, gli operatori dietro la ransomware sono concentrandosi su degli obiettivi aziendali, e per colpire i criminali jackpot.
Durante i recenti attacchi mirati, gli operatori del C++ malware sono concentrati su infiltrante server contenente le risorse aziendali al fine di cifrare e di rete collegati padroni di casa.
Malwarebytes ritiene che Qbot, Emotet, e Rietspoof Trojan può avere una mano nella distribuzione di malware. Altri esperti di sicurezza hanno rintracciato il ransomware attraverso Rietspoof caricatori.
Vedi anche: DealPly adware abusi di Microsoft, McAfee servizi per eludere il rilevamento
Originariamente, MegaCortex conteneva un carico protetto da una password disponibili solo durante un’infezione. I ricercatori affermano che questa caratteristica ha fatto fare il reverse-engineering più difficile, ma anche la distribuzione capillare di una sfida in quanto gli operatori non hanno bisogno di monitorare l’infezione e terminare manualmente una volta che il danno è stato fatto.
Ora, nella nuova versione di MegaCortex, il codice dannoso auto-esegue live, il requisito di password è stata annullata, invece, la password è ora codificato.
C’è anche una serie di altre modifiche che Accenture dice che può essere considerato un mestiere di “una certa sicurezza per la facilità di utilizzo e di automazione.” Questi includono un interruttore manuale esecuzione di file batch per terminare automaticamente e smettere di soluzioni antivirus e altri PC processi.
CNET: militari STATUNITENSI riferito test di sorveglianza palloncini nel Midwest cieli
Inoltre, il payload principale era una volta eseguito dal rundll32.exe e ora è decifrata e eseguita dalla memoria.
Dopo l’infezione, il virus esegue una scansione di tutto il sistema infetto e confronta i processi in esecuzione di un ‘uccidere’ elenco, in ordine di chiudere anti-software di analisi. Un elenco delle unità è quindi redatto e i file vengono crittografati con l’estensione .megacortex. Ombra i file vengono eliminati e il riscatto messaggio viene eliminato nella directory C:.
Una chiave pubblica RSA, hardcoded il malware, è utilizzata per crittografare i file.
MegaCortex richieste di riscatto sono variava da due a 600 Bitcoins, o circa $20.000 a $5,8 milioni di euro. La nota di riscatto dice, in parte:
“Stiamo lavorando per il profitto. Il nucleo di questo business criminale è quello di dare indietro i vostri preziosi dati, in forma originale (per il riscatto del corso). Non facciamo la carità!”
TechRepublic: Top 10 IoT rischi per la sicurezza per le imprese
“Con una password codificata e l’aggiunta di un anti-componente di analisi, di terzi o affiliati, gli attori hanno potuto, in teoria, distribuire il ransomware senza la necessità di un attore-fornito la password per l’installazione,” dicono i ricercatori. “In effetti, potenzialmente ci potrebbe essere un aumento del numero di MegaCortex incidenti se gli attori decidono di iniziare a generare attraverso campagne di email o di caduta come secondario da altre famiglie di malware.”
Precedente e relativa copertura
Questo nuovo Android ransomware si infetta attraverso messaggi SMS
Migliaia di Los Angeles polizia ha catturato in caso di violazione dei dati, i record personali rubati
GermanWiper ransomware colpisce Germania duro, distrugge i file, chiede il riscatto
Ha un suggerimento? Entrare in contatto in modo sicuro tramite WhatsApp | Segnale a +447713 025 499, o oltre a Keybase: charlie0
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati