Новый вид ransomware активизировал атаки на корпоративный сектор

Британская фирма кибербезопасности Sophos зарегистрировала в конце прошлой недели вспышку активности со стороны нового штамма ransomware под названием MegaCortex.

Как и Ryuk, Bitpaymer, Dharma, SamSam, LockerGoga или Matrix, MegaCortex относится к категории программ, используемых только для тщательно спланированных целевых вторжений в сети крупных предприятий.

Эта тактика «охоты на крупного зверя» на протяжении последних шести месяцев была преобладающей в применении ransomware.

Данное ПО впервые было замечено в январе 2018 г., когда его образец был кем-то загружен на сервис сканирования вирусов, VirusTotal. С тех пор количество атак MegaCortex постепенно росло, но в середине прошлой недели произошла резкая эскалация: Sophos насчитала 47 инцидентов, составивших две трети от общего числа известных ей атак MegaCortex (76).

Согласно опубликованному в пятницу заявлению Sophos, ей удалось блокировать атаки, исходившие из корпоративных сетей в США, Канаде, Нидерландах, Ирландии, Италии и Франции. Однако, британский провайдер антивирусных сервисов отметил, что часть атак — из мест, не охваченных его мониторингом, могли остаться незамеченными.

Сама Sophos не смогла с полной достоверностью установить, как ПО MegaCortex попадало в инфицированные сети, но ряд других экспертов компьютерной безопасности утверждают, что для этого используется загрузчик вредоносного кода, Rietspoof.

Это новый подход, другие целевые атаки ransomware осуществлялись либо путём грубого взлома конечных точек через слабозащищенные соединения RDP (Remote Desktop Protocol), либо загрузкой на рабочие станции, предварительно инфицированные троянами Emotet или Trickbot.

Сообщается, что MegaCortex представляет значительную опасность: с его помощью хакеры могут быстро захватить контроль над контроллером домена, что позволит им устанавливать ransomware на рабочие станции во внутренней сети корпорации.

Пострадавшие могут определить MegaCortex по произвольному 8-символьному расширению, которое добавляется к зашифрованным файлам, а также по характерному требованию выкупа (как оно выглядит, показано на снимке экрана).

В качестве профилактической меры исследователи из Sophos рекомендуют компаниям настроить двухфакторную аутентификацию для своих внутренних сетей и, в особенности, для серверов центрального администрирования.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365