Bild: Sophos Labs
×
megacortex.jpg
BRITTISKA it-säkerhetsföretaget Sophos rapporterade att upptäcka en spik i ransomware attacker i slutet av förra veckan från en ny stam som heter MegaCortex.
Sophos sade ransomware verkar ha varit utformade för att rikta stora företag och nätverk som en del av noggrant planerade riktade intrång –i en taktik som är känd som “big-spel jakt.”
Modus operandi är inte ny och har varit den lämpligaste metoden för att leverera ransomware för nästan ett halvår.
MegaCortex nu ansluter sig till en ständigt växande lista av ransomware stammar som är cyber-kriminella grupper använder endast i riktade attacker, snarare än med spam eller andra storskaliga användningen tekniker. Listan innehåller några kända namn, såsom Ryuk, Bitpaymer, Dharma, SamSam, LockerGoga och Matrix.
Plötslig ökning av attacker denna månad
Enligt en rapport från Sophos som släpptes sent på fredag kväll förra veckan, MegaCortex var först såg tillbaka i slutet av januari, när någon lagt upp ett prov på malware scanning service VirusTotal.
Sedan dess har antalet attacker har ökat, men de spetsiga mitten av förra veckan när Sophos säger att det upptäcks 47 attacker –står för två tredjedelar av alla de 76 MegaCortex attacker företaget har sett alla år.
Sophos säger det blockerade attacker det upptäcks, som har sitt ursprung från företag och nätverk som finns i Usa, Kanada, Nederländerna, Irland, Italien och Frankrike. Men andra attacker kan ha inträffat på andra platser där den BRITTISKA leverantören av antivirusprogrammet hade ingen täckning.
Rietspoof infektion vektor?
Medan Sophos kunde inte sätta fingret med säkerhet hur MegaCortex fick på infekterade värdar, flera it-säkerhet forskare twittrade under helgen att ransomware verkar vara tappats på attackerad nätverk via en skadlig kod som heter loader Rietspoof.
Vi har också beslutat att skapa en enkel #YARA regel för att upptäcka #rietspoof loader används med #megacortex https://t.co/la1527yJiH @McAfee_Labs
— Marc Rivero López (@Seifreed) Maj 6, 2019
Ja, faktiskt. Så detta verkar vara #Rietspoof loader finns en del av #MegaCortex installation hmm. Det är en intressant twist, som faktiskt denna loader såg väldigt bekant för mig 😉. @malwrhunterteam hittade det först här -> https://t.co/xvXnyD5mco
— Vitali Kremez (@VK_Intel) 4 Maj, 2019
Detta är ett nytt sätt jämfört med tidigare “riktade ransomware attacker” som antingen förlitat sig på:
– hacker grupper brute-tvinga svagt-säkrade RDP effektmått,
– att släppa ransomware som en andra etapp av nyttolast på arbetsstationer tidigare infekterade med Emotet eller Trickbot trojaner.
Men trots det leveranssätt, MegaCortex verkar vara lika farliga som de andra “big-game hunting” ransomware stammar, med hackare snabbt ökande tillgång till en domänkontrollant, där de försöker distribuera ransomware att så många interna arbetsstationer som möjligt.
Eftersom detta verkar vara en gemensam praxis för de flesta ransomware familjer som används i riktade attacker, Sophos forskare rekommenderar att företag antar två-faktor autentisering för interna nätverk, och särskilt för central hantering av servrar.
Offer kan känna igen ransomware av den slumpmässiga åtta tecken långa tillägget lägger till krypterade filer, utan även dess lösen not, som är inbäddad nedan.
Bild: Sophos Labs
×
megacortex-lösen-not.png
Relaterade skadliga program och it-brottslighet täckning:
En hacker är att torka av Git-arkiv och be om en ransomHackers stjäla card data från 201 online campus butiker från Kanada och USWindows Server hosting provider fortfarande ner en vecka efter ransomware attackMysterious hacker har sålt Windows 0-dagar till APT-grupper för tre yearsMalvertiser bakom 100+ miljoner dåliga annonser grips och utlämnas till USHacker tar över 29 IoT botnetsHackers uppträda som Microsoft mer än något annat varumärke i phishing-attacker TechRepublicGame of Thrones har de mest skadliga av alla piratkopierade TV-show CNET
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter