Recente ransowmare ‘MegaCortex’ direcionado a um grande número de empresas worldwide utilizando ferramentas de red team.

Um recente ransomware denominado MegaCortex, utiliza componentes automatizados e manuais para infetar um grande número de vítimas em todo o mundo, incluindo Itália, Estados Unidos, Canadá, Holanda, Irlanda e França.

Investigadores de segurança da Sophos detetaram um pico repentino em várias redes corporativas na quarta-feira, com uma nova versão de ransomware apelidada de MegaCortex.

O ransomware inclui componentes automatizados e manuais, mas invoca um largo recurso de feature automatizadas como meio de infetar várias vítimas.

According to Sophos, the attackers used “common red-team attack tool script to invoke a meterpreter reverse shell in the victim’s environment and the chain uses PowerShell scripts, batch files to trigger the malware.

 

O ataque começa com um controlador de domínio comprometido dentro da rede corporativa, os invasores executam um script PowerShell altamente ofuscado.

A partir do domínio comprometido, o invasor envia o malware principal para outras máquinas da rede e o executa remotamente via PsExec. O malware tem a capacidade de desabilitar/parar vários software nas máquinas alvos (como AVs).

 

A etapa final é invocar o winnit.exe para descartar e executar um payload que entrega várias ténicas de criptografia para cifrar os ficheiros das máquinas das vítimas.

“There have been (so far) 76 confirmed attacks stopped by Intercept X since February, with 47 of those (or about two-thirds of the known incidents) happening in the past 48 hours. Each attack targeted an enterprise network and may have involved hundreds of machines,” reads Sophos report.

 

 

Após cifrar os ficheiros das máquinas alvo, o malware adiciona uma extensão de oito letras aleatórias aos ficheiros infetados e solta uma ransom note num ficheiro de texto simples na raiz do disco rígido da vítima, e que solicita que esta adquira um software para decifrar os seus ficheiros agora encriptados.

 

IOCs

IP address/domains
Meterpreter’s reverse shell C2 address
89.105.198.28
File hashes
Batch script:
37b4496e650b3994312c838435013560b3ca8571
PE EXE:
478dc5a5f934c62a9246f7d1fc275868f568bc07
Secondary DLL memory injector:
2f40abbb4f78e77745f0e657a19903fc953cc664