Detectan nuevo ransomware MegaCortex

08 Mayo 2019
Alto

Investigadores de Sophos descubrieron numerosos ataques de un nuevo ransomware denominado MegaCortex, que está afectando a varias empresas principalmente de Italia, Estados Unidos, Canadá y Holanda. La nueva campaña de malware usa sofisticadas técnicas de ataques -tanto manuales como automatizadas- para infectar a sus víctimas.

Los ciberdelincuentes utilizan herramientas comunes de red-team para hacer un reverse shell en los equipos. Y luego,  usa scripts de PowerShell, archivos de servidores remotos y comandos que logran descargar payload. Finalmente, infectan al controlador de dominio, para propagarse dentro de la red empresarial.

El ransomware no sólo cifra los archivos de los equipos, sino también elimina un gran cantidad de servicios, principalmente relacionados con su seguridad y protección, algo que está siendo cada vez más común entre las nuevas familias de ransomware.

Después del cifrado, MegaCortex agrega una extensión de ocho letras al azar a los archivos infectados. También incluye la nota de rescate en un archivo de texto sin formato, que pide a la víctima comprar un software de descifrado.

Si bien los investigadores no pueden asegurar que el ransomware está relacionado con los Emotet y Qbot, sí han encontrarlo algunas similitudes, como su capacidad para entregar otros payloads de malware.

- Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.

- Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.

- Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.

- Actualizar los equipos con Windows a las últimas versiones.

- Configurar de manera más estricta el anti spam.

- Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.


Tags: #megacortex #ransomware #malware #payload #powershell #emotet #qbot


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.