Poznaj megaszkodnika, który z impetem atakuje właśnie w maju

09-05-2019, 18:00

Nie dla wszystkich początek majówki był czasem odpoczynku. Pierwszego maja w sieci odnotowano nagły wzrost ataków z wykorzystaniem stosunkowo mało znanego ransomware. Eksperci opublikowali szczegółową analizę szkodliwego oprogramowania, które rozprzestrzenia się w sieci wyjątkowo szybko. MegaCortex został rozpoznany m.in. w Stanach Zjednoczonych, Kanadzie czy we Włoszech.

Czas zwiększonych wydatków zbliża się nieubłaganie.

>> Sprawdź konto z kartą otwartą na dzisiaj <<

0 zł za prowadzenie rachunku, użytkowanie karty debetowej i wypłaty gotówki!


MegaCortex jest podobny do Ryuka i BitPaymera, ale cyberprzestępcy stojący za atakami wykorzystują do nich bardziej zautomatyzowane oprogramowanie. Do tej pory specjaliści Sophos odnotowywali ataki przeprowadzane zarówno ręcznie, za pomocą automatycznych narzędzi, jak również ataki mieszane – z wykorzystaniem obu technik. W przypadku MegaCortex, eksperci zaobserwowali większy nacisk na automatyzację ataku przy jednoczesnym podejmowaniu niektórych działań ręcznie. Taka formuła usprawnia rozprzestrzenianie się infekcji w zdecydowanie szybszy sposób, który poszerza grono dotkniętych użytkowników.

Kto atakuje?

John Shier, starszy doradca ds. bezpieczeństwa w Sophos, wychodzi z  podejrzeniem, że te ataki są dziełem osób bez doświadczenia, wykorzystujących modny trend „living off the land”, czyli  infekowanie systemów za pomocą ogólnodostępnych narzędzi i aplikacji wbudowanych np. w nowe systemy operacyjne Windows. To dobry przykład zjawiska, któremu niedawno nadano nazwę „cyberprzestępczych pentestów”. W ten sposób przestępcy sprawdzają luki w zabezpieczeniach danego systemu. Następnym krokiem może być zebranie danych do kolejnego ataku .

Ekspert dodaje, że ataki wykorzystujące MegaCortex są przeprowadzane za pomocą strategii „blended threat” w wyjątkowo intensywnej odsłonie. Nacisk na automatyzację sprawia, że atak może dotrzeć do szerszego grona urządzeń końcowych. Gdy atakujący uzyskają dane dostępowe do panelu administracyjnego, stają się praktycznie nie do powstrzymania. Mogą przeprowadzać dalsze działania jako administratorzy.

Jak wygląda działanie przestępców?

Po pomyślnie przeprowadzonym ataku, gdy dane na dysku ofiary zostaną zaszyfrowane, przestępcy pozostawiają plik z informacją o infekcji i sposobie odzyskania danych. W przypadku opłacenia żądanej sumy, przestępcy obiecują, że w przyszłości firma nie będzie niepokojona przez nich, a dodatkowo oferują porady dotyczące poprawy cyberbezpieczeństwa. Przestępcy proszą ofiarę o wysłanie im wiadomości z załączonym plikiem o infekcji na jeden z dwóch adresów poczty elektronicznej w domenie mail.com, co ma być znakiem chęci uiszczenia opłaty.

Co robić?

Prawdopodobnie istnieje silny związek między MegaCortex a wciąż pojawiającymi się infekcjami sieci  poprzez Emotet i Qbot. Jeśli menedżerowie IT zauważą powiadomienia o atakach z ich wykorzystaniem, powinni potraktować je priorytetowo, ponieważ  obydwa mogą zostać wykorzystane do dystrybucji innego złośliwego oprogramowania, w tym również MegaCortex.

Źródło: Sophos



Sprawdź, który bank może zaproponować Ci najtańsze kredyty gotówkowe, najlepsze kredyty hipoteczne, kredyty dla firm, bezpłatne konta osobiste, konta firmowe czy najlepiej oprocentowane lokaty >>
Przepisy na coś słodkiego z kremem Nutella
To warto przeczytać








  
znajdź w serwisie




pit 37
RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
Jak czytać DI?
RSS
Copyright © 1998-2022 by Dziennik Internautów Sp. z o.o. (GRUPA INFOR PL) Wszelkie prawa zastrzeżone.