Ένα νέο ransomware, που ονομάζεται MegaCortex ανακαλύφθηκε ότι πραγματοποιεί επιθέσεις εναντίον οντοτήτων στις ΗΠΑ, τον Καναδά, τη Γαλλία, την Ολλανδία, την Ιρλανδία και την Ιταλία. Το ransomware χρησιμοποιεί τόσο αυτοματοποιημένα όσο και χειροκίνητα μέσα, σε μια προσπάθεια να μολύνει όσο το δυνατόν περισσότερα θύματα.
Σύμφωνα με τους ερευνητές της Sophos, οι οποίοι ανακάλυψαν τη νέα εκστρατεία του MegaCortex, οι κυβερνοεγκληματίες που εκμεταλλεύονται τα συγκεκριμένα στελέχη ransomware, φαίνεται να είναι οπαδοί της ταινίας Matrix, καθώς το σημείωμα των λύτρων που συνοδεύει την επίθεση «διαβάζεται με τη φωνή και το ρυθμό του χαρακτήρα Morpheus.»
«Το κακόβουλο λογισμικό χρησιμοποιεί επίσης ένα μεγάλο αρχείο δέσμης για να τερματίσει τα τρέχοντα προγράμματα και να σταματήσει τη λειτουργία ενός μεγάλου αριθμού υπηρεσιών, πολλές από τις οποίες φαίνεται να σχετίζονται με την ασφάλεια ή την προστασία», δήλωσε ο ερευνητής της Sophos, Andrew Brandt.
Το ransomware εμφανίστηκε για πρώτη φορά τον Ιανουάριο του 2019, όταν μεταφορτώθηκε στο VirusTotal. Οι επιθέσεις του MegaCortex έκτοτε έχουν κλιμακωθεί.
Από τον Φεβρουάριο, 76 επιβεβαιωμένες επιθέσεις του MegaCortex εντοπίστηκαν, εκ των οποίων 47 επιθέσεις σημειώθηκαν μόλις την περασμένη εβδομάδα. Κάθε μία από τις επιθέσεις στόχευε σε μια συγκεκριμένη οντότητα και μπορεί να έχει διακυβεύσει εκατοντάδες συστήματα.
“Ενώ το σημείωμα των λύτρων δεν αναφέρει το ποσό που απαιτούν οι εγκληματίες, προσφέρουν στα θύματα μια «διαβούλευση για το πώς να βελτιώσουν την ασφάλεια των εταιρειών τους» και «μια εγγύηση ότι η εταιρεία τους δεν θα τους ενοχλεί ποτέ» – στο μέλλον, αφού βέβαια τους έχει ήδη χακάρει”, έγραψε ο Brandt.
Οι ερευνητές της Sophos πιστεύουν ότι το ransomware, ενδέχεται να έχει κάποιες συνδέσεις με τα κακόβουλα δίκτυα Emotet Qbot, αν και δεν είναι ακόμη σαφές εάν τα στελέχη των κακόβουλων λογισμικών, βοηθούν με κάποιο τρόπο το MegaCortex. Τόσο το Emotet όσο και το Qbot μπορούν να χρησιμεύσουν ως μηχανισμοί παράδοσης κακόβουλων προγραμμάτων. Το Emotet έχει χρησιμοποιηθεί ως τέτοιο για να παραδώσει το κακόβουλο λογισμικό Trickbot.
Ορισμένοι ειδικοί ασφαλείας, πιστεύουν ότι το MegaCortex παραδίδεται μέσω του Rietspoof. Οι ερευνητές της Sophos πιστεύουν ότι οι επιτιθέμενοι, που λειτουργούν μέσω του MegaCortex ενδέχεται επίσης να ξεκινήσουν να εκμεταλλεύονται το πρωτόκολλο απομακρυσμένης επιφάνειας εργασίας (Remote Desktop Protocol – RDP) για να έχουν πρόσβαση και να αποκτήσουν τον έλεγχο των μηχανημάτων των θυμάτων. Οι ερευνητές προέτρεψαν τους χρήστες να προστατεύσουν τα μηχανήματα RDP μέσω VPN.
«Προσπαθούμε ακόμα να αναπτύξουμε μια σαφέστερη εικόνα της διαδικασίας μόλυνσης, αλλά προς το παρόν φαίνεται ότι υπάρχει ισχυρή συσχέτιση μεταξύ της παρουσίας του MegaCortex και μιας προϋπάρχουσας, τρέχουσας μόλυνσης στα δίκτυα των θυμάτων με Emotet και Qbot” είπε ο Brandt.
