Um novo ransomware chamado MegaCortex (identificado pela Trend Micro como RANSOM.WIN32.CORTEX.SM) foi, segundo informações públicas, usado para atacar redes corporativas de grande porte, além de estações de trabalho, nos EUA, Canadá e algumas partes da Europa. A empresa de cibersegurança Sophos identificou um aumento súbito de atividade do MegaCortex na sexta, constatando que 47 ataques foram bloqueados em 48h, o que soma 2/3 de todos os ataques com este ransomware específico. Este surto recente não é o mais recente deste ransom, cuja primeira amostra foi distribuída em janeiro, no site de compartilhamento VirusTotal.
Como funciona o MegaCortex
Ao menos uma vítima informou que o ataque foi originado a partir de controles de domínio comprometidos dentro da rede da empresa, mas não está claro como os criminosos acessaram a rede inicialmente.
Depois de dominar os controles, os invasores os reconfiguraram para distribuir um arquivo de batch, renomeado como PsExec, e o winnit.exe, que é um dos principais executáveis do malware, para os computadores da rede. Em sequência, eles rodam o arquivo de batch remotamente; este arquivo vai, então, finalizar os processos do Windows e interromper os serviços que possam interferir com as rotinas do ransomware.
O batch passa, então, a executar o winnit.exe, o principal arquivo do malware, durante um tempo determinado e com o argumento específico do Base64. Se executado corretamente, este malware vai buscar arquivos para criptografar e soltar uma nota de pedido de resgate. Ele também vai extrair um arquivo DLL nomeado aleatoriamente e executa-lo com o rundll32.exe. Este DLL é o componente que vai criptografar os arquivos da máquina. Primeiramente, ele verifica se o arquivo está acessível; não estando, ele simplesmente vai registrar o arquivo. Já em caso positivo, ele criptografa o alvo. O processo DLL se encerra após um determinado número de tentativas, e se reinicia automaticamente.
Ao criptografar os arquivos da vítima, o ransomware vai anexar a extensão .aes128ctr.tsv e gravá-la no HD. O pedido de resgate dos criminosos instrui o usuário a enviar este arquivo de volta a eles, pois é ele que contém a chave necessária para a descriptografia. A nota de resgate, em si, é um .txt e não pede o típico pagamento em criptomoedas, exigindo a compra do software dos criminosos.
Em adição ao conteúdo inicial, o malware também baixa componentes secundários que os pesquisadores identificaram como sendo o malware Rietspoof, um sistema usado para instalar diversos conteúdos simultaneamente em um mesmo dispositivo.
Protegendo-se contra o ransomware
Usuários individuais e empresas devem seguir as boas práticas para se proteger contra este perigo: fazer backups regulares, manter o sistema e os aplicativos atualizados, colocar em uso o princípio do mínimo privilégio, e implementar uma defesa aprofundada – estabelecendo uma defesa sólida em cada camada da empresa, incluindo perímetro, gateways, redes, endpoints e servidores.
Soluções para ransomware da Trend Micro
As empresas podem obter grandes benefícios com uma abordagem multicamadas para mitigar os riscos trazidos por ransomwares como o NamPoHyu Virus, conhecido como MegaLocker Virus. Em nível de endpoint, as Trend Micro Smart Protection Suites trazem diversos recursos como machine learning de alta fidelidade, análise comportamental e controle de aplicativos, além de proteção de vulnerabilidades, que ajuda a reduzir o impacto desta ameaça. O Trend Micro Deep Discovery Inspector detecta e bloqueia os ransomware em redes, enquanto o Trend Micro Deep Security impede que este malware atinja os servidores da empresa – sejam físicos, virtuais ou em nuvem. O Trend Micro™ Deep Security™, o Vulnerability Protection, e o TippingPoint oferecem virtual patching o que protege contra ameaças que se aproveitam de vulnerabilidades ainda sem patch definitivo para instalar seu ransomware.
Soluções de email e gateway de web como o Trend Micro Deep Discovery Email Inspector e o InterScan™ Web Security impedem estas ameaças de chegar a seus usuários. O Cloud App Security da Trend Micro pode ajudar a fortalecer a segurança de apps do Office 365 e outros serviços de nuvem com análise de sandbox de última geração em busca de ransom e outras ameaças avançadas.
As soluções Trend Micro trazem uma combinação multigerações de recursos integrados e automatizados que fornecem, portanto, uma proteção sólida, ágil e abrangente para toda a empresa, ajudando seu negócio e se manter à frente das ameaças. Fale com nossos especialistas e saiba como poderemos ajudar.