MegaCortex, scoperta una nuova variante del ransomware che colpisce aziende e PA

Il ransomware MegaCortex, utilizzato dai criminal hacker per compiere attacchi mirati ai danni di organizzazioni pubbliche e private in tutto il mondo, è in grado di cambiare la password di accesso ai dispositivi compromessi e minaccia le vittime di diffonderne i file se non pagano il riscatto. Ecco tutti i dettagli e i consigli per prevenire un attacco

È stato individuato e analizzato il campione di una nuova variante del ransomware MegaCortex già salito agli onori della cronaca la scorsa estate per aver colpito numerose organizzazioni in tutto il mondo, Italia compresa, con attacchi mirati.

La prima variante utilizzava oltre ai classici strumenti malevoli per la distribuzione automatica del malware anche alcune componenti manuali molto simili a quelle già sfruttate dai cyber criminali in altrettanto pericolosi ransomware e che consentivano di muoversi “lateralmente” in modo da infettare il maggior numero di sistemi possibili collegati in LAN alla macchina già colpita.

I dettagli tecnici della nuova variante di MegaCortex

Secondo gli analisti, questa particolare caratteristica di attacco mista classifica MegaCortex come un nuovo ransomware “aziendale”, cioè specializzato nel colpire i sistemi e le reti di grandi organizzazioni con attacchi mirati che hanno fruttato enormi somme di denaro in riscatti pagati dalle vittime delle infezioni.

La nuova variante di MegaCortex, identificata dal MalwareHunter Team, mantiene le stesse caratteristiche tecniche analizzate finora; è inoltre in grado di modificare la password di accesso al dispositivo target in modo da bloccare qualsiasi tentativo di intervento tecnico sulla macchina. Come se non bastasse, nella nota di riscatto il ransomware minaccia la vittima di pubblicare online tutti i suoi file riservati se non procede con il pagamento del riscatto.

Un’altra differenza rispetto alla precedente variante di MegaCortex è l’estensione .m3g4c0rtx con cui il ransomware cripta i file dell’utente.

Come funziona la nuova variante di MegaCortex

Particolare anche la tecnica di diffusione di MegaCortex: come già successo in passato, infatti, pare che il ransomware sia in grado di sfruttare i malware come Emotet o Qbot come vettori di attacco.

Così facendo, MegaCortex riesce ad ottenere accesso alla rete locale target e a quel punto il payload malevolo consente di installare il ransomware su tutte le macchine della LAN connesse tramite Active Directory o altri sistemi.

A questo punto, il ransomware inietta due librerie di sistema in formato DLL e tre differenti script salvandoli all’interno della directory C:WindowsTemp. Operazione, questa, che di fatto dà il via alla vera e propria procedura di compromissione delle macchine.

Come prima operazione infettiva, vengono eseguiti i tre script utilizzati per eliminare le copie Shadow di Windows in modo da impedire il recupero delle copie di backup dei file criptati, liberare tutto lo spazio su disco e cifrare i file della vittima.

Completata questa prima fase infettiva, MegaCortex crea la nota di riscatto sul desktop della vittima, archiviandola all’interno del file di testo ! -! _ README _! -!. Rtf. Come da prassi, il documento informa dell’avvenuta cifratura dei file e richiede il pagamento del riscatto per poterli “liberare”.

È in questa fase che MegaCortex sfrutta la capacità di modificare la password del dispositivo infetto per impedire alla vittima di effettuare qualsiasi operazione mirata a rimuovere il ransomware o a decriptare i file: qualora l’utente provasse a riavviare il sistema, infatti, si ritroverebbe con il suo account completamente bloccato.

Il trucco per sbloccare i file criptati

Al momento, per fortuna, non sono stati individuati attacchi con il ransomware MegaCortex mirati verso aziende italiane. Ciò non toglie che conviene tenere la guardia sempre alta e i sistemi di controllo sempre aggiornati.

Qualora dovessimo ritrovarci con i file del computer cifrati, possiamo sfruttare l’apposito tool ID Ransomware messo a punto dai ricercatori del MalwareHunter Team per scoprire se la causa dell’infezione è il ransomware MegaCortex.

È sufficiente collegarsi alla home page del progetto e cliccare sul pulsante Sfoglia per caricare la nota di riscatto o un file cifrato: in pochi secondi otterremo la “sentenza” e le eventuali istruzioni per procedere con la bonifica del sistema.

Valgono poi le solite regole di sicurezza informatica utili a prevenire un eventuale attacco ransomware, in attesa che venga rilasciato un decryptor anche per la nuova variante di MegaCortex:

• innanzitutto, è fondamentale tenere sempre aggiornato il sistema operativo e l’antivirus;

• è importante, poi, eseguire periodicamente un backup dei dati archiviati su una macchina differente e non collegata alla stessa LAN;

• non aprire mai gli allegati di e-mail di dubbia provenienza;

• fare attenzione alle e-mail provenienti anche da indirizzi noti;

• abilitare l’opzione Mostra estensioni nomi file nelle impostazioni di Windows: i file più pericolosi hanno l’estensione EXE, ZIP, JS, JAR, SCR ecc.;

• disabilitare la riproduzione automatica (“autorun”) di chiavette USB, CD/DVD e altri supporti esterni e, più in generale, evitare di inserire questi oggetti nel nostro computer se non siamo certi della provenienza;

• disabilitare l’esecuzione di macro da parte di componenti Office (Word, Excel, PowerPoint). Una macro malevola potrebbe essere contenuta in un allegato in formato Office e attivarsi automaticamente a seguito di un nostro clic;

• utilizzare – quando possibile – account senza diritti da amministratore: se viene violato un account con privilegi ed accessi di amministratore, l’attaccante potrà utilizzare gli stessi privilegi per compiere più azioni e fare maggiori danni.

È inoltre utile ricordare che non bisogna mai pagare il riscatto, soprattutto nel caso di attacchi mirati ad aziende e pubbliche amministrazioni: oltre a incentivare i criminal hacker a continuare nelle loro malefatte, infatti, si rischia di incorrere in diversi reati penali primo tra tutti quello di favoreggiamento.

 

Fonte: CyberSecurity360