MegaCortex – Mã độc đòi tiền chuộc mới

Các chuyên gia bảo mật tại Sophos đã phát hiện ra một phần mới của ransomware (Mã độc đòi tiền chuộc) có tên là MegaCortex đang nhắm mục tiêu vào các mạng công ty.

Các cuộc tấn công MegaCortex đã được báo cáo ở Hoa Kỳ, Ý, Canada, Pháp, Hà Lan và Ireland.

MegaCortex được phát hiện lần đầu tiên vào tháng 1 khi một mẫu ransomware được tải lên trên dịch vụ quét trực tuyến VirusTotal.

Các chuyên gia nhận thấy sự gia tăng số lượng các cuộc tấn công vào tuần trước khi được phát hiện và tạm dừng 47 cuộc tấn công (Kể từ tháng 1, tổng số cuộc tấn công dựa trên MegaCortex là 76).

Tại thời điểm báo cáo vẫn chưa rõ ràng về chuỗi tấn công, dù sao, các nhà nghiên cứu đã tìm thấy mối tương quan giữa các cuộc tấn công MegaCortex và sự hiện diện trong cùng một mạng của cả phần mềm độc hại Emotet và Qbot (còn gọi là Qakbot).

Một số nạn nhân của ransomware báo cáo rằng họ đã bị xâm phạm vào domain controller, đây có thể là bước đầu tiên của cuộc tấn công.

Sau đó, kẻ gian sử dụng đoạn mã Cobalt Strike để tấn công mạng đích.

Hacker sẽ kiểm soát Domain Controllers (DC), và dùng DC để đẩy ransomware xuống các máy đích. (DC sử dụng WMI để đẩy phần mềm độc hại, một bản sao của PsExec được đổi tên thành rstwg.exe và một batch file sẽ thực thi thông qua PsExec, batch file bao gồm một danh sách dài các lệnh được kẻ tấn công sử dụng để tiêu diệt 44 processes, ra lệnh dừng cho 189 dịch vụ khác nhau và chuyển Loại khởi động cho 194 dịch vụ khác nhau thành Vô hiệu hóa, ngăn chúng khởi động lại)

Sau đó, mã độc sẽ thực thi tệp phần mềm độc hại chính gọi là winnit.exe.

MegaCortex để lại một ghi chú tiền chuộc trên thư mục gốc của ổ cứng nạn nhân.

Megacortex ransomware

Megacortex tạo ra một tệp có phần mở rộng tệp .tsv và cùng tên tệp tám chữ cái ngẫu nhiên như DLL độc hại và để nó vào ổ cứng.

Các nạn nhân phải gửi tệp này với yêu cầu trả tiền chuộc cho những kẻ tấn công thông qua hai địa chỉ email mà chúng đã cung cấp.

Các chuyên gia chỉ ra rằng tiền chuộc không đề cập đến giá chuộc mà kẻ gian đang yêu cầu, thay vào đó họ cung cấp cho các nạn nhân một cuộc tư vấn về cách cải thiện an ninh mạng của công ty.

Nguồn :
https://securityaffairs.co/wordpress/85062/malware/megacortex-ransomware.html

Leave a Comment