A Sophos notou detecções do programa malicioso em vários países ao redor do mundo. O ransomware tem componentes manuais semelhantes ao Ryuk e BitPaymer, mas os criminosos por trás do MegaCortex usam mais ferramentas automatizadas para realizar os ataques – e isso é único.
Até agora, a Sophos viu ataques automatizados e manuais, assim como investidas mistas que combinam as duas estratégias anteriores, que geralmente utilizam mais técnicas manuais de hacking para se mover lateralmente. Com o MegaCortex, a Sophos está vendo um uso mais pesado de automação aliado ao componente manual. Esta nova fórmula é projetada para espalhar a infecção para mais vítimas, mais rapidamente.
Não existe um valor explícito à ser pago na nota de resgate enviada pelos criminosos. Ao invés disso, os atacantes orientam as vítimas a utilizar um de dois endereços de e-mail gratuitos do mail.com para entrar em contato e enviar um arquivo que o ransomware coloca no disco rígido da vítima para solicitar “serviços” de descriptografia.
A nota de resgate também promete que os cibercriminosos “irão incluir uma garantia de que a empresa nunca mais será incomodada por nós ” se as vítimas pagarem o resgate, e continua: “Você também receberá uma consultoria sobre como melhorar a segurança cibernética da empresa”.
“Suspeitamos que este seja o “pacote completo” do ataque e um bom exemplo do que temos chamado ultimamente de testes de intrusão de cibercriminosos. Os atacantes do MegaCortex adotaram uma abordagem de ameaças mista e levaram ao nível máximo, aumentando o componente automatizado para atingir mais vítimas. Depois que eles obtêm as credenciais de administrador, não tem mais como pará-los. Lançar o ataque a partir do próprio controlador de domínio é uma ótima maneira dos invasores terem acesso a toda a autoridade necessária para impactar toda a organização. As empresas precisam prestar atenção aos controles básicos de cibersegurança e realizar avaliações de segurança antes que os criminosos o façam, para impedir que invasores como esses saiam ilesos”.
A Sophos oferece as seguintes recomendações de proteção:
- Parece que há uma forte correlação entre a presença do MegaCortex e uma infecção contínua pré-existente na rede das vítimas com Emotet e Qbot. Se os gerentes de TI estiverem observando alertas sobre infecções por esse últimos dois malwares, eles devem ter alta prioridade. Ambos os bots podem ser usados para distribuir outros programas maliciosos, e é possível que as infecções do MegaCortex tenham começado assim;
- Até agora, a Sophos não viu nenhuma indicação de que o RDP (Remote Desktop Protocol) tenha sido violado para invadir redes, mas sabemos que furos em firewalls corporativos que permitem que pessoas se conectem ao RDP ainda são relativamente comuns. Desencorajamos fortemente essa prática e recomendamos que qualquer administrador de TI que deseje utilizar o protocolo coloque a máquina RDP atrás de uma VPN;
- Como o padrão de ataque parece indicar que uma senha administrativa tenha sido roubada pelos criminosos, também recomendamos a adoção generalizada de autenticação de dois fatores sempre que possível;
- Manter backups regulares dos dados mais importantes e atuais em um dispositivo de armazenamento offline é a melhor maneira de evitar ter que pagar o resgate;
- Use proteção anti-ransomware, como o Sophos Intercept X, para bloquear o MegaCortex e futuros ransomwares.
