新型勒索软件——MegaCortex
研究人员发现了一种名为MegaCortex的攻击企业网络及其上的工作站的新型勒索软件。一旦网络被攻击,攻击者就会通过Windows域控制器分发勒索软件来感染整个网络。
研究人员表示美国、意大利、加拿大、法国、荷兰和爱尔兰已有客户感染了这种新的勒索软件。由于这是最新出现的勒索软件,所以目前对其加密算法知之甚少,攻击者究竟如何获得对网络的访问权限,以及受害者支付赎金后攻击者是否解密文件,这一切都存在疑问。
1.MegaCortex勒索软件
由于Sophos发现已经感染了MegaCortex的网络上存在 Emotet以及Qakbot特洛伊木马,因此这表明攻击者以与Ryuk类似的方式向特洛伊木马运营商支付访问受感染系统的费用。
“目前,我们无法肯定MegaCortex是否得到了Emotet恶意软件的帮助,但到目前为止我们的调查表明它们之间存在相关性。”
虽然不是100%清楚攻击者如何访问网络,但受害者向Sophos报告说,这些攻击源自受感染的域控制器。
在域控制器上,Cobolt Strike被执行以创建一个反向shell发送回攻击者的主机。利用此shell,攻击者可以远程访问域控制器并将其配置为将PsExec(主要恶意软件可执行文件)和批处理文件的副本分发给网络上的所有计算机,然后通过PsExec远程执行批处理文件。
研究人员发现的批处理文件会终止44个不同的进程,阻止199个Windows服务,并禁用194个服务。
停止所有阻止恶意软件运行或加密文件的服务后,批处理文件将执行名为winnit.exe的主要恶意软件文件。
执行勒索软件组件
Sophos研究员Andrew Brandt表示,winnit.exe可执行文件以base64编码的字符串作为参数启动。使用正确的参数会导致恶意软件提取随机命名的DLL并使用rundll32.exe执行它。此DLL是加密计算机的实际勒索软件组件。
在加密计算机时,勒索软件会给加密文件附加一个扩展名,有时候是.aes128ctr。也就是说名为marketing.doc的文件将被加密并重命名为marketing.doc.aes128ctr。目前尚不清楚这些扩展是否是静态的。
它还使用与随机DLL相同的名称创建一个文件,并附加.tsv扩展名,例如arbcxdfx.tsv。在该文件的顶部是base64编码的字符串,可能是加密的解密密钥。
最后,勒索软件创建了一个名为!!!_READ_ME_!!!.txt的勒索信,信中解释了所发生的情况,包含可用于联系攻击者的电子邮件地址。电子邮件地址目前为shawhart1542925@mail.com和anderssperry6654818@mail.com。
2.存在二级payload
除了MegaCortex勒索软件payload之外,Sophos还在计算机上发现了 “二级主要组件”。
安全研究员Vitali Kremez检查了其中一些二级payload,并解释说这些文件是Rietspoof。Rietspoof是一个多阶段交付系统,用于在计算机上drop多个恶意软件payload。
3.承诺进行网络安全咨询
MegaCortex开发者还表示受害者支付赎金后,他们永远不会再攻击他们。更好的是,他们还会为受害者提供免费的网络安全咨询。
虽然不确定是否有受害者希望攻击者给予它们网络安全方面的建议,但攻击者可能会愿意解释他们如何获得对计算机的访问权限。
4.保护自己免受MegaCortex勒索软件的侵害
只有在受害者无法恢复数据的情况下,勒索软件才会造成破坏,所以最重要的是备份重要文件。这些备份应该脱机存储,并且不能被勒索软件访问。
虽然MegaCortex没有通过垃圾邮件传播,但它可能是由特洛伊木马程序安装的。因此,重要的是,所有用户都必须接受如何正确识别恶意垃圾邮件的培训,并且在未事先确认其发送者和原因的情况下不打开任何附件。
最后,确保您的网络不会通过Internet公开访问远程桌面服务也很重要。