Segundo a Sophos (LSE:SOPH), líder global na segurança na rede e para endpoint, o MegaCortex é um malware que tem sido pouco visto até que no dia 1 de maio se detetou um aumento significativo e repentino do mesmo. A Sophos descobriu a utilização do MegaCortex nos Estados Unidos, Canadá, Argentina, Itália, Holanda, França, Irlanda, Hong Kong, Indonésia e Austrália. O ransomware conta com componentes de caráter manual semelhantes aos do Ryuk e do BitPaymer, mas neste caso utilizam-se ferramentas mais automatizadas para levar a cabo este ataque, tornando o MegaCortex num malware único.
Até agora, a Sophos detetou ataques automatizados, ataques manuais e ataques combinados, que normalmente se inclinavam mais para a utilização de técnicas de hacking manuais para se mover de forma lateral; com o MegaCortex, a Sophos está a observar uma maior utilização da automatização em conjunto com elementos manuais. Esta nova fórmula foi criada para propagar o ataque a um maior número de vítimas e fazê-lo de forma mais rápida.
Desde os SophosLabs Uncut é referido que não existe ainda um número concreto que se peça como resgate. Sabe-se que os cibercriminosos solicitam às vítimas que lhes enviem um e-mail para um endereço concreto e, como resposta, devolvem um arquivo que o ransomware permite implementar no disco rígido para tornar efetivos os seus "serviços" de descodificação. A nota de resgate também especifica que os cibercriminosos "garantem que não voltarão a incomodar aquela empresa" e, se as vítimas pagam o resgate, "recebem também consultoria sobre como melhorar a cibersegurança da sua empresa".
Para que se proteja de ciberataques como o MegaCortex, a Sophos recomenda:
- Parece existir uma forte correlação entre a presença do MegaCortex e a existência prévia e contínua de invasões nas redes das vítimas com Emotet e Qbot. Se os gestores de TI observarem alertas de infeções pelo Emotet ou Qbot, devem considerá-las como a principal prioridade. Estes dois bots podem ser utilizados para distribuir outros malwares, e é possível que tenha sido desta forma que começaram as infeções como o MegaCortex.
- A Sophos não observou até ao momento nenhuma evidência de que tenham ocorrido violações ao Remote Desktop Protocol (RDP) para entrar nas redes, mas sabemos que as perturbações nos firewalls empresariais que permitem aos utilizadores conectarem-se através do RDP, continuam a ser relativamente comuns. Por este motivo, desanconselhamos vivamente esta prática e sugerimos a qualquer administrador de TI que pretenda utilizá-la que coloque a equipa RDP por detrás da VPN.
- Neste caso, os cibercriminosos parecem ter descoberto a password de administrador, pelo que recomendamos também a adoção generalizada da autenticação "dois-fatores" sempre que seja possível.
- Manter cópias de seguraça regulares dos dados atualizados mais importantes num dispositivo de armazenamento sem conexão é a melhor forma de evitar o pagamento de um resgate.
- Utilizar proteção anti-ransomware, como o Sophos Intercept X, para poder bloquear o MegaCortex e futuros ransomwares.
"Suspeitamos que se trata de um "mega bundle" para pessoas com falta de conhecimento nesta área e um bom exemplo do que temos denominado como um pentesting (teste de infiltração) de cibercriminosos. Os atacantes do MegaCortex optaram por uma abordagem às ameaças combinadas e desenvolveram-na para o nível 11, aumentando os componentes automáticos para alcançarem mais vítimas. Uma vez que têm as credenciais do administrador, não há forma de os impedir. Lançar o ataque desde o seu próprio controlador de domínio é uma boa forma para os atacantes o realizarem com toda a autoridade necessária para chegarem a qualquer lugar da empresa. As empresas devem prestar atenção aos controlos de segurança básicos e realizarem avaliações de segurança, antes que os atacantes o façam, para evitar a ocorrência deste tipo de ataques", destaca Ricardo Maté, Diretor Geral da Sophos para Espanha e Portugal.
0 Comments: