Poznaj megaszkodnika, który z impetem atakuje właśnie w maju

09-05-2019, 18:00

Nie dla wszystkich początek majówki był czasem odpoczynku. Pierwszego maja w sieci odnotowano nagły wzrost ataków z wykorzystaniem stosunkowo mało znanego ransomware. Eksperci opublikowali szczegółową analizę szkodliwego oprogramowania, które rozprzestrzenia się w sieci wyjątkowo szybko. MegaCortex został rozpoznany m.in. w Stanach Zjednoczonych, Kanadzie czy we Włoszech.

MegaCortex jest podobny do Ryuka i BitPaymera, ale cyberprzestępcy stojący za atakami wykorzystują do nich bardziej zautomatyzowane oprogramowanie. Do tej pory specjaliści Sophos odnotowywali ataki przeprowadzane zarówno ręcznie, za pomocą automatycznych narzędzi, jak również ataki mieszane – z wykorzystaniem obu technik. W przypadku MegaCortex, eksperci zaobserwowali większy nacisk na automatyzację ataku przy jednoczesnym podejmowaniu niektórych działań ręcznie. Taka formuła usprawnia rozprzestrzenianie się infekcji w zdecydowanie szybszy sposób, który poszerza grono dotkniętych użytkowników.

Kto atakuje?

John Shier, starszy doradca ds. bezpieczeństwa w Sophos, wychodzi z  podejrzeniem, że te ataki są dziełem osób bez doświadczenia, wykorzystujących modny trend „living off the land”, czyli  infekowanie systemów za pomocą ogólnodostępnych narzędzi i aplikacji wbudowanych np. w nowe systemy operacyjne Windows. To dobry przykład zjawiska, któremu niedawno nadano nazwę „cyberprzestępczych pentestów”. W ten sposób przestępcy sprawdzają luki w zabezpieczeniach danego systemu. Następnym krokiem może być zebranie danych do kolejnego ataku .

Ekspert dodaje, że ataki wykorzystujące MegaCortex są przeprowadzane za pomocą strategii „blended threat” w wyjątkowo intensywnej odsłonie. Nacisk na automatyzację sprawia, że atak może dotrzeć do szerszego grona urządzeń końcowych. Gdy atakujący uzyskają dane dostępowe do panelu administracyjnego, stają się praktycznie nie do powstrzymania. Mogą przeprowadzać dalsze działania jako administratorzy.

Jak wygląda działanie przestępców?

Po pomyślnie przeprowadzonym ataku, gdy dane na dysku ofiary zostaną zaszyfrowane, przestępcy pozostawiają plik z informacją o infekcji i sposobie odzyskania danych. W przypadku opłacenia żądanej sumy, przestępcy obiecują, że w przyszłości firma nie będzie niepokojona przez nich, a dodatkowo oferują porady dotyczące poprawy cyberbezpieczeństwa. Przestępcy proszą ofiarę o wysłanie im wiadomości z załączonym plikiem o infekcji na jeden z dwóch adresów poczty elektronicznej w domenie mail.com, co ma być znakiem chęci uiszczenia opłaty.

Co robić?

Prawdopodobnie istnieje silny związek między MegaCortex a wciąż pojawiającymi się infekcjami sieci  poprzez Emotet i Qbot. Jeśli menedżerowie IT zauważą powiadomienia o atakach z ich wykorzystaniem, powinni potraktować je priorytetowo, ponieważ  obydwa mogą zostać wykorzystane do dystrybucji innego złośliwego oprogramowania, w tym również MegaCortex.

Źródło: Sophos


Źródło: materiał nadesłany do redakcji
  
znajdź w serwisie

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Październik 2019»
PoWtŚrCzwPtSbNd
 123456
78910111213
14151617181920
21222324252627
28293031