Ransomware MegaCortex identificado em ataques a redes corporativas

Um novo ransomware chamado MegaCortex (identificado pela Trend Micro como RANSOM.WIN32.CORTEX.SM) foi, segundo informações públicas, usado para atacar redes corporativas de grande porte, além de estações de trabalho, nos EUA, Canadá e algumas partes da Europa. A empresa de cibersegurança Sophos identificou um aumento súbito de atividade do MegaCortex na sexta, constatando que 47 ataques foram bloqueados em 48h, o que soma 2/3 de todos os ataques com este ransomware específico. Este surto recente não é o mais recente deste ransom, cuja primeira amostra foi distribuída em janeiro, no site de compartilhamento VirusTotal.

Como funciona o MegaCortex

Ao menos uma vítima informou que o ataque foi originado a partir de controles de domínio comprometidos dentro da rede da empresa, mas não está claro como os criminosos acessaram a rede inicialmente.

Depois de dominar os controles, os invasores os reconfiguraram para distribuir um arquivo de batch, renomeado como PsExec, e o winnit.exe, que é um dos principais executáveis do malware, para os computadores da rede. Em sequência, eles rodam o arquivo de batch remotamente; este arquivo vai, então, finalizar os processos do Windows e interromper os serviços que possam interferir com as rotinas do ransomware.

O batch passa, então, a executar o winnit.exe, o principal arquivo do malware, durante um tempo determinado e com o argumento específico do Base64. Se executado corretamente, este malware vai buscar arquivos para criptografar e soltar uma nota de pedido de resgate. Ele também vai extrair um arquivo DLL nomeado aleatoriamente e executa-lo com o rundll32.exe. Este DLL é o componente que vai criptografar os arquivos da máquina. Primeiramente, ele verifica se o arquivo está acessível; não estando, ele simplesmente vai registrar o arquivo. Já em caso positivo, ele criptografa o alvo. O processo DLL se encerra após um determinado número de tentativas, e se reinicia automaticamente.

Ao criptografar os arquivos da vítima, o ransomware vai anexar a extensão .aes128ctr.tsv e gravá-la no HD. O pedido de resgate dos criminosos instrui o usuário a enviar este arquivo de volta a eles, pois é ele que contém a chave necessária para a descriptografia. A nota de resgate, em si, é um .txt e não pede o típico pagamento em criptomoedas, exigindo a compra do software dos criminosos.

Em adição ao conteúdo inicial, o malware também baixa componentes secundários que os pesquisadores identificaram como sendo o malware Rietspoof, um sistema usado para instalar diversos conteúdos simultaneamente em um mesmo dispositivo.

Protegendo-se contra o ransomware

Usuários individuais e empresas devem seguir as boas práticas para se proteger contra este perigo: fazer backups regulares, manter o sistema e os aplicativos atualizados, colocar em uso o princípio do mínimo privilégio, e implementar uma defesa aprofundada – estabelecendo uma defesa sólida em cada camada da empresa, incluindo perímetro, gateways, redes, endpoints e servidores.

Soluções para ransomware da Trend Micro

As empresas podem obter grandes benefícios com uma abordagem multicamadas para mitigar os riscos trazidos por ransomwares como o NamPoHyu Virus, conhecido como MegaLocker Virus. Em nível de endpoint, as Trend Micro Smart Protection Suites trazem diversos recursos como machine learning de alta fidelidade, análise comportamental e controle de aplicativos, além de proteção de vulnerabilidades, que ajuda a reduzir o impacto desta ameaça. O Trend Micro Deep Discovery Inspector detecta e bloqueia os ransomware em redes, enquanto o Trend Micro Deep Security impede que este malware atinja os servidores da empresa – sejam físicos, virtuais ou em nuvem. O Trend Micro™ Deep Security™, o Vulnerability Protection, e o TippingPoint oferecem virtual patching o que protege contra ameaças que se aproveitam de vulnerabilidades ainda sem patch definitivo para instalar seu ransomware.

Soluções de email e gateway de web como o Trend Micro Deep Discovery Email Inspector e o InterScan™ Web Security impedem estas ameaças de chegar a seus usuários. O Cloud App Security da Trend Micro pode ajudar a fortalecer a segurança de apps do Office 365 e outros serviços de nuvem com análise de sandbox de última geração em busca de ransom e outras ameaças avançadas.

As soluções Trend Micro trazem uma combinação multigerações de recursos integrados e automatizados que fornecem, portanto, uma proteção sólida, ágil e abrangente para toda a empresa, ajudando seu negócio e se manter à frente das ameaças. Fale com nossos especialistas e saiba como poderemos ajudar.

Categorias

Veja outras publicações

Menu