El malware MegaCortex pisotea fuerte

10 mayo, 2019
19 Compartido 2,582 Visualizaciones

MegaCortex es un malvare que se ha dejado ver poco hasta que el 1 de mayo se detectara un aumento significativo y repentino del mismo. Sophos ha descubierto el uso de MegaCortex en Estados Unidos, Canadá, Argentina, Italia, Países Bajos, Francia, Irlanda, Hong Kong, Indonesia y Australia.

El ransomware cuenta con componentes de carácter manual similares a los de Ryuk y BitPaymer, pero en este caso se usan herramientas más automatizadas para llevar a cabo este ataque, convirtiendo a MegaCortex en único. Hasta ahora, Sophos ha detectado ataques automatizados, ataques manuales y ataques combinados, que normalmente se inclinaban más por el uso de técnicas de hackeo manuales para moverse de forma lateral; con MegaCortex, Sophos está observando un mayor uso de la automatización junto con componentes manuales. Esta nueva fórmula está diseñada para propagar la infección a un mayor número de víctimas y hacerlo de forma más rápida.

Desde los SophosLabs Uncut se señala que no hay todavía una cifra concreta que se pida a modo de rescate. Se sabe que los ciberatacantes solicitan a sus víctimas que les envíen un email a una dirección concreta, y a modo de respuesta devuelven un archivo que el ransomware permite desplegar en el disco duro para hacer efectivos sus “servicios” de descifrado. La nota de rescate también especifica que los ciberdelincuentes “garantizan que no volverán a molestar a su empresa”, y si las victimas pagan el rescate, “también recibirán consultoría sobre cómo mejorar la ciberseguridad de su empresa”.

Para protegerse ante ciberataques como el de MegaCortex, Sophos recomienda:

  • Parece existir una fuerte correlación entre la presencia de MegaCortex, y la existencia previa y continua de infecciones en las redes de las victimas con Emotet y Qbot. Si los administradores de TI ven alertas de infecciones por Emotet o Qbot, deben considerarlas como prioridad alta. Estos dos bots pueden ser usados para distribuir otros malwares, y es posible que haya sido de este modo como comenzaran infecciones como MegaCortex.
  • Sophos no ha observado hasta ahora ningún indicio de que se hayan dado violaciones de Remote Desktop Protocol (RDP) para entrar a las redes, pero sabemos que los agujeros en los firewalls empresariales que permiten a los usuarios conectarse vía RDP siguen siendo relativamente comunes. Por eso, desaconsejamos encarecidamente esta práctica y sugerimos que cualquier administrador de TI que desee usarla ponga el equipo RDP tras una VPN.
  • Como parece ser que los ciberdelincuentes violaron la contraseña de administrador, también recomendamos la adopción generalizada de autenticación “two-factor” siempre que sea posible.
  • Mantener copias de seguridad periódicas de los datos actualizados más importantes en un dispositivo de almacenamiento sin conexión es la mejor manera de evitar tener que pagar un rescate.
  • Utilizar protección anti-ransomware, como Sophos Intercept X, para poder bloquear MegaCortex y futuros ransomwares.

Sospechamos que se trata de un ‘mega bundle’ para torpes y un buen ejemplo de lo que hemos estado llamando un pentesting (prueba de penetración) de cibercriminales. Los atacantes de MegaCortex han optado por un enfoque de amenaza combinada y lo han elevado al nivel 11, aumentando los componentes automáticos para alcanzar a más víctimas. Una vez que tienen las credenciales de administrador, no hay quien los pare.  Lanzar el ataque desde su propio controlador de dominio es una buena forma para que los atacantes se hagan con toda la autoridad necesaria para llegar a cualquier lugar de la empresa.  Las empresas deben prestar atención a los controles de seguridad básicos y realizar evaluaciones de seguridad, antes de que lo hagan los delincuentes, para evitar que se cuelen este tipo de ataques”, señala Ricardo Maté, director general de Sophos para España y Portugal.

Te podría interesar

Facebook pretende adquirir una empresa de ciberseguridad a finales de año
Actualidad
12 compartido1,804 visualizaciones
Actualidad
12 compartido1,804 visualizaciones

Facebook pretende adquirir una empresa de ciberseguridad a finales de año

Mónica Gallego - 24 octubre, 2018

Facebook se redime de su hackeo en la red social y recobra la confianza de los inversores con la idea…

«Vamos a añadir una capa de seguridad extra basada en Inteligencia Artificial y Machine Learning llamada Decision Intelligence»
Actualidad
21 compartido2,764 visualizaciones
Actualidad
21 compartido2,764 visualizaciones

«Vamos a añadir una capa de seguridad extra basada en Inteligencia Artificial y Machine Learning llamada Decision Intelligence»

Samuel Rodríguez - 6 junio, 2018

Hablamos con Alberto López, Director de Pagos Digitales, Desarrollo de Producto e Innovación de Mastercard para España y Portugal. Alberto está al frente de…

ESADE y Lydian Ventures aplican la identidad digital soberana, por primera vez, al entorno académico
Soluciones Seguridad
18 compartido2,046 visualizaciones
Soluciones Seguridad
18 compartido2,046 visualizaciones

ESADE y Lydian Ventures aplican la identidad digital soberana, por primera vez, al entorno académico

Mónica Gallego - 12 febrero, 2019

Lydian Ventures y ESADE desarrollan el expediente académico certificado a través de blockchain: inmutable, inviolable y auditable públicamente. Ambas instituciones identifican las…

Deje un comentario

Su email no será publicado