I tre år, Ikke Mere Løsesum projektet har bidraget med 200.000 brugere
Ikke Mere Løsesum projektet har forhindret ransomware overskud på mindst $108 mio.
En ny variant af MegaCortex ransomware er på vej i hele Europa og Usa, efterlader afpresning krav millioner værd i sit kølvand.
Accenture iDefense forskere beskrevet kampagner, der gør brug af MegaCortex v. 2 i et blog-indlæg på mandag. Ifølge Leo Fernandes, Senior Manager for den Malware, Analyse og Modforanstaltninger (MAC) team for, at operatørerne bag ransomware er at fokusere på virksomhedens mål — og er i det at ramme de kriminelle jackpot.
I løbet af de seneste, målrettede angreb, operatører af C++ – malware har fokuseret på at infiltrere servere, der indeholder virksomhedens ressourcer for at kryptere dem, og de forbundne netværk værter.
Malwarebytes mener, at Qbot, Emotet, og Rietspoof Trojanske heste kan have en hånd til at distribuere malware. Andre sikkerhedseksperter har sporet ransomware gennem Rietspoof læssemaskiner.
Se også: DealPly adware misbrug, Microsoft, McAfee-tjenester til at undgå opdagelse
Oprindeligt, MegaCortex indeholdt en nyttelast beskyttet af en adgangskode, der kun stilles til rådighed under en live-infektion. Forskerne siger, at denne funktion gjorde, foretage reverse-engineering mere vanskeligt, men også udbredelse i en udfordring, som selskaberne skal overvåge infektion og manuelt slutte op, når skaden var sket.
Nu, i den nye version af MegaCortex, den ondsindede kode, der selv udfører og live adgangskode krav er blevet afvist; i stedet password er nu hard-kodet.
Der er også en række andre ændringer, som Accenture siger, kan betragtes som en handel med “en vis sikkerhed for brugervenlighed og automation.” Disse omfatter et skifte fra manuel udførelse af batch filer til automatisk at dræbe og stop antivirus-løsninger og andre PC-processer.
CNET: AMERIKANSKE militær efter sigende test overvågning balloner i Midtvesten himmel
Hertil kommer, at den primære nyttelast engang var udført af rundll32.exe og nu er dekrypteret og udført fra hukommelsen.
Efter infektion, den malware udfører en scanning på den inficerede system og sammenligner kørende processer for at en ‘dræbe’ liste, for at afslutte anti-analyse software. En liste med drev derefter trækkes op og filer, der er krypteret med den udvidelse .megacortex. Skygge-filer slettes, og den løsesum besked er faldet i C: mappe.
En offentlig RSA-nøgle, hardcoded ind i malware, der bruges til at kryptere filer.
MegaCortex krav om løsepenge har varieret fra to til 600 Bitcoins, eller omkring $20.000 til $5,8 millioner. Løsepenge bemærk siger, i del:
“Vi arbejder for profit. Kernen i denne kriminelle virksomhed er at give tilbage dine værdifulde data i den oprindelige form (for løsepenge, selvfølgelig). Vi behøver ikke gøre velgørenhed!”
TechRepublic: Top 10 tingenes internet sikkerhed risici for virksomheder
“Med en hard-kodet password og tilføjelse af en anti-analyse komponent, tredjemand eller tilknyttede aktører, der kunne, i teorien, distribuere ransomware uden behov for en skuespiller, der leveres password til installation,” siger forskerne. “Ja, der potentielt kunne være en stigning i antallet af MegaCortex hændelser, hvis aktørerne beslutter dig for at begynde at levere det via e-mail kampagner eller faldet som sekundære fase af andre malware familier.”
Tidligere og relaterede dækning
Denne nye Android ransomware inficerer du via SMS-beskeder
Tusindvis af Los Angeles politi fanget i data, brud, personlige optegnelser stjålet
GermanWiper ransomware hits Tyskland hårdt, ødelægger filer, anmoder om en løsesum,
Har du et tip? Komme i kontakt sikkert via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre