mercoledì 13 novembre 2019

Mega Cortex: il ransomware, diffuso anche in Italia, ha una nuova versione


Non abbiamo parlato molto di Mega Cortex, un ransomware che non è mai stato nella "top 10" di questo tipo di malware, ma che comunque è regolarmente distribuito da qualche mese ed ha messo a segno alcune centinaia di infezioni anche nel nostro paese. 

MegaCortex in breve: cosa è, come si diffonde
questo ransomware è stato individuato a Maggio scorso dai ricercatori di sicurezza di Sophos: mira principalmente alle reti e alle workstation aziendali. Una volta penetrati nella rete, gli attaccanti che controllano il ransomware infettano l'intera rete aziendale usando domain controller Windows. La prima versione era distribuita secondo confini geografici precisi: si registrarono casi di infezione negli Stati Uniti, in Canada, in Francia, nei Paesi Bassi, in Irlanda e, come detto, in Italia.  

I ricercatori di Sophos puntualizzarono anche che MegaCortex era stato individuato in reti aziendali già compromesse con i trojan Emotet e Qakbot, elemento che suggeriva che gli attaccanti avessero pagato alcuni operatori di trojan per avere accesso a sistemi già infetti: questa tecnica, quella cioè di pagare altri cyber attaccanti per avere accesso a reti e sistemi già infettati con altri trojan, è ormai una consuetudine nel mondo dei ransomware. Perchè hackerare un sistema per ottenere un accesso se c'è già, magari, una backdoor aperta sullo stesso? 

In ogni caso MegaCortex ha anche un proprio meccanismo di accesso alla rete: molti utenti hanno denunciato come l'infezione sia iniziata con la compromissione di domain controller Windows. Su questi controller gli attaccanti copiano e installano Cobolt Strike, creando così una reverse shell verso l'host dell'attaccante. E' così che gli attori dietro Mega Cortex ottengono l'accesso remoto al domain controller e lo sfruttando per distribuire l'eseguibile principale del ransomware. A quel punto, dopo aver terminato 44 differenti processi e quasi 200 servizi di Windows (tutti potenzialmente avversi all'infezione: parliamo di antivirus, backup, database ecc...), inizia la criptazione dei file presenti sulle macchine connesse in rete. 

Tra le altre cose, MegaCortex si assicura che non sia possibile recuperare i file in forme diverse rispetto al pagamento del riscatto: col comando vssadmin delete shadows /all  /for=c:\ cancella tutte le Shadow Volume Copies impedendo il ripristino del sistema. Col comando Cipher /w invece sovrascrive i file cancellati, in maniera tale da renderli non recuperabili neppure con software di recupero dati. 

Come cripta i file
Anzitutto, quel che colpisce, è che MegaCortex ha il proprio codice certificato. I certificati utilizzati variano, spesso sono rubati o ottenuti in altre forme illecite. In questo modo non è necessario fornire codice criptato per il payload del ransomware: la DLL può essere direttamente decompressa e iniettata in memoria: è un tipico meccanismo di elusione dei controlli delle soluzioni antivirus e antimalware. L'eseguibile viene quindi avviato e inizia la criptazione. 

Fonte: bleepingcomputer.com

La nuova versione
La nuova versione, individuata qualche giorno fa, non si limita più a criptare solo i file e richiedere un riscatto, ma ha funzioni aggiuntive: oltre a minacciare le vittime di pubblicare i file online, è in grado di modificare la password di accesso al dispositivo. In dettaglio, se l'utente prova a riavviare il sistema operativo dopo l'infezione di MegaCortex, non riuscirà più ad accedervi, perchè la password sarà stata modificata. 


E' cambiata anche l'estensione di criptazione, che per la nuova versione è .m3g4c0rtx. Il Cert-PA fa comunque sapere che, almeno ad ora, non risultano infezioni della nuova versione in Italia. 

Versioni esistenti: 
  • V.1 -> .aes128ctr
  • V.2 -> .megac0rtx 
  • V.3 -> .m3g4c0rtx

Nessun commento:

Posta un commento