È stato individuato e analizzato il campione di una nuova variante del ransomware MegaCortex già salito agli onori della cronaca la scorsa estate per aver colpito numerose organizzazioni in tutto il mondo, Italia compresa, con attacchi mirati.
Scoperta dai ricercatori di sicurezza Sophos, la prima variante di MegaCortex utilizzava oltre ai classici strumenti malevoli per la distribuzione automatica del malware anche alcune componenti manuali molto simili a quelle già sfruttate dai cyber criminali in altrettanto pericolosi ransomware del calibro di Ryuk e Sodikinobi e che consentivano al ransomware di muoversi “lateralmente” in modo da infettare il maggior numero di sistemi possibili collegati in LAN alla macchina già colpita.
Indice degli argomenti
I dettagli tecnici della nuova variante di MegaCortex
Secondo gli analisti, questa particolare caratteristica di attacco mista classifica MegaCortex come un nuovo ransomware “aziendale”, cioè specializzato nel colpire i sistemi e le reti di grandi organizzazioni con attacchi mirati che hanno fruttato enormi somme di denaro in riscatti pagati dalle vittime delle infezioni.
La nuova variante di MegaCortex, identificata dal MalwareHunter Team, mantiene le stesse caratteristiche tecniche analizzate finora; è inoltre in grado di modificare la password di accesso al dispositivo target in modo da bloccare qualsiasi tentativo di intervento tecnico sulla macchina. Come se non bastasse, nella nota di riscatto il ransomware minaccia la vittima di pubblicare online tutti i suoi file riservati se non procede con il pagamento del riscatto.
Un’altra differenza rispetto alla precedente variante di MegaCortex è l’estensione .m3g4c0rtx con cui il ransomware cripta i file dell’utente.
Come funziona la nuova variante di MegaCortex
Particolare anche la tecnica di diffusione di MegaCortex: come già successo in passato, infatti, pare che il ransomware sia in grado di sfruttare i malware come Emotet o Qbot come vettori di attacco.
Così facendo, MegaCortex riesce ad ottenere accesso alla rete locale target e a quel punto il payload malevolo consente di installare il ransomware su tutte le macchine della LAN connesse tramite Active Directory o altri sistemi.
A questo punto, il ransomware inietta due librerie di sistema in formato DLL e tre differenti script salvandoli all’interno della directory C:WindowsTemp. Operazione, questa, che di fatto dà il via alla vera e propria procedura di compromissione delle macchine.
Come prima operazione infettiva, vengono eseguiti i tre script utilizzati per eliminare le copie Shadow di Windows in modo da impedire il recupero delle copie di backup dei file criptati, liberare tutto lo spazio su disco e cifrare i file della vittima.
Completata questa prima fase infettiva, MegaCortex crea la nota di riscatto sul desktop della vittima, archiviandola all’interno del file di testo! -! _ README _! -!. Rtf. Come da prassi, il documento informa dell’avvenuta cifratura dei file e richiede il pagamento del riscatto per poterli “liberare”.
È in questa fase che MegaCortex sfrutta la capacità di modificare la password del dispositivo infetto per impedire alla vittima di effettuare qualsiasi operazione mirata a rimuovere il ransomware o a decriptare i file: qualora l’utente provasse a riavviare il sistema, infatti, si ritroverebbe con il suo account completamente bloccato.
Il trucco per sbloccare i file criptati
Al momento, per fortuna, non sono stati individuati attacchi con il ransomware MegaCortex mirati verso aziende italiane. Ciò non toglie che conviene tenere la guardia sempre alta e i sistemi di controllo sempre aggiornati. Ricordiamo, infatti, che in molti casi MegaCortex utilizza altri malware come vettori di diffusione: riuscendo a bloccare questi codici malevoli si hanno buone probabilità di prevenire anche un attacco mediante il ransomware MegaCortex.
Qualora dovessimo ritrovarci con i file del computer cifrati, possiamo sfruttare l’apposito tool ID Ransomware messo a punto dai ricercatori del MalwareHunter Team per scoprire se la causa dell’infezione è il ransomware MegaCortex.
È sufficiente collegarsi alla home page del progetto e cliccare sul pulsante Sfoglia per caricare la nota di riscatto o un file cifrato: in pochi secondi otterremo la “sentenza” e le eventuali istruzioni per procedere con la bonifica del sistema.
Valgono poi le solite regole di sicurezza informatica utili a prevenire un eventuale attacco ransomware, in attesa che venga rilasciato un decryptor anche per la nuova variante di MegaCortex:
- innanzitutto, è fondamentale tenere sempre aggiornato il sistema operativo e l’antivirus o le soluzioni di sicurezza degli endpoint installate sulle macchine aziendali;
- è importante, poi, eseguire periodicamente un backup dei dati, cioè una copia dei file da ripristinare in caso di attacco. Chiaramente, tale backup deve essere archiviato su una macchina differente e non collegata alla stessa LAN;
- non aprire mai gli allegati di e-mail di dubbia provenienza. Nel dubbio è consigliabile chiedere al mittente se quella e-mail è autentica;
- fare attenzione alle e-mail provenienti anche da indirizzi noti (potrebbero essere stati hackerati secondo una modalità di falsificazione nota come quella dello spoofing);
- abilitare l’opzione Mostra estensioni nomi file nelle impostazioni di Windows: i file più pericolosi hanno l’estensione EXE, ZIP, JS, JAR, SCR ecc.: se questa opzione è disabilitata non riusciremo a vedere la reale estensione del file;
- disabilitare la riproduzione automatica (“autorun”) di chiavette USB, CD/DVD e altri supporti esterni e, più in generale, evitare di inserire questi oggetti nel nostro computer se non siamo certi della provenienza;
- disabilitare l’esecuzione di macro da parte di componenti Office (Word, Excel, PowerPoint). Una macro malevola potrebbe essere contenuta in un allegato in formato Office e attivarsi automaticamente a seguito di un nostro clic;
- utilizzare – quando possibile – account senza diritti da amministratore: se viene violato un account con privilegi ed accessi di amministratore, l’attaccante potrà utilizzare gli stessi privilegi per compiere più azioni e fare maggiori danni.
È inoltre utile ricordare che non bisogna mai pagare il riscatto, soprattutto nel caso di attacchi mirati ad aziende e pubbliche amministrazioni: oltre a incentivare i criminal hacker a continuare nelle loro malefatte, infatti, si rischia di incorrere in diversi reati penali primo tra tutti quello di favoreggiamento (art. 379 c.p.).
