Sophos: Aumentan ataques de MegaCortex en mayo
A partir del primero de mayo, Sophos, firma especializada en ciberseguridad, registró un nuevo ransomware llamado MegaCortex, que ha estado atacando a organizaciones de todo el mundo.
El código malicioso de MegaCortex se han distribuido desde una máquina de controlador de dominio en la red interna, utilizando credenciales administrativas robadas para iniciar sesión, transferir y ejecutar el malware en la red de la víctima.
Sophos informó que los atacantes usan la automatización junto con el componente manual, lanzando archivos por lotes para llevar a cabo sus ataques. Esta nueva fórmula está diseñada para propagar la infección de manera rápida a una mayor cantidad de víctimas. Cuando se ejecutan sus archivos, suprime a una gran cantidad de procesos y servicios, muchos de los cuales se encargan de impedir que el cifrado continue.
En primer lugar, el malware está compuesto por dos archivos:
- El archivo por lotes STOP. bat, utilizado para iniciar MegaCortex, y WINNIT. exe,
- El ejecutable de malware en sí (hasta ahora, llamado WINNIT. exe), que hace el cifrado.
Estos archivos utilizan dos métodos diferentes para llevar a cabo el ataque:
1.- Intentan copiar el ejecutable ransomware y su archivo por lotes lanzador a las máquinas a través de la red de área local (LAN) del objetivo.
2.- Ejecutan el archivo por lotes lanzador utilizando: MI y PsExec. Cada archivo es una larga lista del mismo comando, apuntando a cada máquina una tras otra.
Además, el informe de Sophos registró una dirección real ubicada en el suburbio londinense de Romford, vinculada a más de 74 mil empresas registradas en el Reino Unido. Y encontró evidencia que se ha ocupado esta dirección para firmar certificados digitales utilizados para los archivos maliciosos.
“MegaCortex no es tímido para la cámara y no intenta ocultar su presencia. Sin embargo, cuenta con una forma meticulosa de dirigir el malware ya que no le importa su enfoque una vez dentro de la red. El resultado de sus ataques ha sido una ráfaga accidental de advertencias en los registros de sucesos de DC sobre los intentos fallidos de WMI cuando el actor de amenazas lanza el ataque de forma redundante”. Andrew Brandt, investigador principal de Sophos.
Recomendaciones de Sophos para protegerse ante MegaCortex:
- Si los administradores de TI detectan alertas sobre infecciones de Emotet o Qbot, éstas deberían tener una alta prioridad. Estos dos bots pueden usarse para distribuir otro malware, y es posible que así haya sido el comienzo de las infecciones por MegaCortex.
- Como el ataque parece indicar que los delincuentes violaron una contraseña administrativa, también recomendamos la adopción generalizada de la autenticación de dos factores siempre que sea posible.
- Mantener copias de seguridad periódicas de los datos más importantes y actuales en un dispositivo de almacenamiento fuera de línea es la mejor manera de evitar tener que pagar un rescate.
- Utilizar una protección inteligente contra ransomware, como Sophos Intercept X, para bloquear MegaCortex y futuros ataques de ransomware.
****
Lee las últimas noticias y opiniones sobre seguridad en el galardonado Naked Security News y en el canal de noticias de Sophos.
Protege cada Mac y PC en tu hogar con la próxima generación de software gratuito de seguridad de Internet de gestión centralizada, Sophos Home.
Conéctate con Sophos donde estés.
Acerca de Sophos
Sophos es un líder en endpoint de próxima generación y seguridad de red. Como pionero de la seguridad sincronizada, Sophos desarrolla su innovadora cartera de soluciones de seguridad de punto final, red, cifrado, web, correo electrónico y móvil para trabajar mejor juntas. Más de 100 millones de usuarios en 150 países confían en las soluciones de Sophos como la mejor protección contra amenazas sofisticadas y pérdida de datos. Los productos de Sophos están disponibles exclusivamente a través de un canal global de más de 39,000 socios registrados. Sophos tiene su sede en Oxford, Reino Unido y se cotiza en la Bolsa de Valores de Londres bajo el símbolo "SOPH". Más información está disponible en www.sophos.com.
No hay comentarios.