Шифровальщик MegaCortex нацелился на корпоративный сектор

Шифровальщик MegaCortex нацелился на корпоративный сектор

Специалисты компании Sophos сообщили о всплеске атак вымогателя MegaCortex — вредоносной программы, ранее замеченной лишь в единичных нападениях. Злоумышленники нацелены на корпоративный сектор и пытаются получить доступ к контроллеру домена организации, чтобы доставить шифровальщик на максимальное количество рабочих станций.

Первые сообщения о MegaCortex датируются январем этого года, однако до последнего времени экспертами Sophos зафиксировано лишь 29 подтвержденных атак вымогателя. Между тем в первые дни мая стало известно о как минимум новых 47 попытках установки зловреда. Аналитики отмечают, что в каждом случае речь идет о проникновении в корпоративную сеть.

Попав на целевое устройство, зловред запускает PowerShell-скрипт, который разворачивает многофункциональную оболочку Meterpreter в сети жертвы. При помощи этого инструмента злоумышленники получают доступ к контроллеру домена компании и доставляют полезную нагрузку на подключенные к нему машины. В компьютеры внедряется исполняемый файл и пакетный сценарий, отвечающий за выгрузку из памяти сотен процессов. Киберпреступники отключают системы безопасности, антивирусные сканеры и другие службы, которые могут помешать шифрованию данных.

В завершение на устройство доставляется файл winnit.exe, который отвечает за загрузку DLL-библиотеки со случайным именем из восьми символов. Она шифрует пользовательскую информацию и размещает в корневом каталоге записку с требованием выкупа. Послание стилизовано под обращение Морфеуса — одного из героев фильма «Матрица». К фильму отсылает и название зловреда: главный герой трилогии работал в корпорации со схожим названием — MetaCortex. В сообщении преступники предлагают обратиться к ним за консультациями по защите корпоративной сети, чтобы обезопасить компанию от будущих нападений.

Механизм распространения MegaCortex все еще недостаточно изучен специалистами. Независимые исследователи подтвердили только применение Rietspoof в последних атаках шифровальщика. Однако, по мнению экспертов, киберпреступники также могут использовать трояны Emotet и Qbot.

Впервые Rietspoof был замечен ИБ-специалистами в августе прошлого года, однако с января 2019-го авторы активно развивают свою разработку, регулярно добавляя в нее новые возможности. Нападение зловреда носит многоэтапный характер и включает в себя выполнение обфусцированного VBS-сценария, распаковку CAB-файла и запуск бота для управления активными процессами и установки полезной нагрузки.

Источник: //threatpost.ru/megacortex-ransomware-attacks-enterprise-networks/32552/

Оставить комментарий

Оставить коментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *