Novo Megacortex Ransomware altera senhas do Windows e ameaça publicar dados

Foi descoberta uma nova versão do MegaCortex Ransomware que não apenas criptografa seus arquivos, mas agora altera a senha do usuário conectado e ameaça publicar os arquivos da vítima se eles não pagarem o resgate.

Para aqueles que não estão familiarizados com o MegaCortex , é um ransomware direcionado instalado através do acesso à rede fornecido por trojans como o Emotet. Depois que os atores do MegaCortex obtêm acesso, eles enviam o ransomware para as máquinas da rede por meio de um controlador de diretório ativo ou kits de pós-exploração.

Alterações significativas na nova versão do MegaCortex

Em uma nova amostra do ransomware descoberto pelo MalwareHunterTeam , engenharia reversa por Vitali Kremez e posteriormente analisado pelo BleepingComputer, vemos uma nova versão do MegaCortex que apresenta alterações substanciais em relação às variantes anteriores.

A mudança mais óbvia vista pelas vítimas é a nova extensão .m3g4c0rtx sendo usada pelo ransomware, como mostrado abaixo.

Além disso, o MegaCortex agora configurará um aviso legal na máquina criptografada para exibir uma mensagem básica de resgate “Bloqueado pelo MegaCortex” com contatos de e-mail antes que o usuário faça login.

Nos bastidores, um pouco mudou

Quando o iniciador principal do MegaCortex é executado, ele extrai dois arquivos DLL e três scripts CMD para C: \ Windows \ Temp. Atualmente, este iniciador está assinado com um certificado Sectigo para uma empresa da Austrália chamada “MURSA PTY LTD”.

Esses arquivos CMD executarão uma variedade de comandos que removerão cópias de volume de sombra, usarão o comando Cipher para limpar todo o espaço livre na unidade C: \, definir o Aviso Legal e limpar todos os arquivos usados ​​para criptografar o computador.

Kremez disse em conversas que os dois arquivos DLL são usados ​​para criptografar os arquivos no computador. Um arquivo DLL é um iterador de arquivos que procura o arquivo para criptografar e a outra DLL será usada para criptografar o arquivo.

Essas DLLs não são injetadas em nenhum processo, mas são executadas via Rundll32.exe.

Quando terminar, as vítimas encontrarão uma nota de resgate na área de trabalho intitulada ! -! _ README _! – !. rtf que contém alguns comentários interessantes que, a princípio, descartamos como ameaças ociosas.

Após uma análise mais aprofundada, determinamos que pelo menos uma das ameaças é verdadeira; o ransomware realmente altera a senha da vítima para a conta do Windows.

MegaCortex altera a senha do Windows da vítima

Não é incomum que os desenvolvedores de ransomware façam ameaças que não são executadas para assustar as vítimas.

Por esse motivo, quando vimos que a nota de resgate declarava que as credenciais da vítima foram alteradas, a rejeitamos.

“Todas as suas credenciais de usuário foram alteradas e seus arquivos foram criptografados.”

Depois de testar o ransomware e reiniciar o computador criptografado, descobri que não conseguia fazer login na minha conta.

Uma análise mais aprofundada do código por Kremez confirmou que o MegaCortex está realmente alterando a senha da conta do Windows da vítima.

Isso é feito executando o comando net user quando o ransomware é executado.

Isso também explica por que os invasores adicionaram um aviso legal que é mostrado no prompt de login, pois o usuário não poderá mais fazer login para acessar sua área de trabalho.

Ameaça publicar dados da vítima

Além das reivindicações comprovadas de alteração das credenciais do usuário, os atacantes também alteraram a nota de resgate para indicar que os dados da vítima foram copiados para um local seguro.

Eles ameaçam tornar esses dados públicos se a vítima não pagar o resgate.

“Também baixamos seus dados para um local seguro. No caso infeliz de não chegarmos a um acordo, não teremos escolha a não ser tornar esses dados públicos.

Depois que a transação for finalizada, todas as cópias dos dados que baixamos serão apagado “.

Não está confirmado se os atacantes realmente copiaram os arquivos das vítimas, mas essa ameaça não deve ser descartada e as vítimas podem querer confirmar que os atacantes realmente têm seus arquivos conforme indicado quando se comunicam com eles.

Se os atores do MegaCortex estiverem realmente copiando dados, as vítimas agora terão que tratar esses ataques como uma violação de dados daqui para frente, em vez de apenas uma infecção por ransomware.

Isso acabará por adicionar uma nova camada de complexidade e riscos a esses tipos de ataques.

COI:

Hashes:

ca0d1e770ca8b36f6945a707be7ff1588c3df2fd47031aa471792a1480b8dd53 [Launcher]
5ff14746232a1d17e44c7d095e2ec15ede4bd01f35ae72cc36c2596274327af9 [DLL]
e362d6217aff55572dc79158fae0ac729f52c1fc5356af4612890b9bd84fbcde [DLL]

Arquivos associados:

!-!README!-!.rtf

Texto da nota de resgate:

Your company’s network has been breached and infected with MegaCortex Malware.

All of your user credentials have been changed and your files have been encrypted.
We ensure that the only way to retrieve your data swiftly and securely is with our software.
Restoration of your data requires a private key which only we possess.

To confirm that our decryption software works email to us 2 files from random computers.
You will receive further instructions after you send us the test files.

After receiving payment we will provide you with the decryptor including its full source code and credentials to your computers.
We have also downloaded your data to a secure location. In the unfortunate event of us not coming to an agreement we will have no choice but to make this data public.
Once the transaction is finalized all of copies of data we have downloaded will be erased.
We will provide any assistance if needed.

Contact emails:
redacted@redacted.com
or
redacted@redacted.com

E Você, o que acha dessas tentativas de pishing? Deixe seu comentário abaixo para sabermos a sua opinião. Também visite-nos em: https://www.deltaservers.com.br/ para conferir todas as novidades que preparamos para você!

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *