MegaCortex, un peligroso ransomware recién llegado

 

MegaCortex es una más de las variedades de ransomware que podemos encontrarnos en la red. Sophos informó que las víctimas se comunicaron con ellos para informarles que estaban infectadas con un nuevo ransomware llamado MegaCortex .

Cuando Sophos analizó las computadoras de la víctima, descubrieron que los atacantes estaban obteniendo acceso a una red y luego comprometían el controlador de dominio de Windows. Una vez que el controlador de dominio se vio comprometido, los atacantes instalarían Cobalt Strike para abrir una shell inversa a los atacantes.

Ahora que los atacantes tenían acceso completo a la red, usarían PsExec para distribuir un archivo por lotes y el ransomware denominado winnit.exe al resto de las computadoras de la red. Luego ejecutaría este archivo por lotes para cifrar las diferentes estaciones de trabajo comprometidas.

Archivo por lotes
Porción de archivo por lotes

Al iniciar el archivo ejecutable winnit.exe, se debería proporcionar una cadena codificada en base64 particular para que el ransomware extraiga e inyecte un DLL en la memoria. Esta DLL es el componente principal de ransomware que encripta una computadora.

No se sabe exactamente cómo los atacantes obtuvieron acceso a una red, pero Sophos declaró que los troyanos Emotet o Qakbot estaban presentes en redes también infectadas con MegaCortex.

El proceso de encriptación de MegaCortex

En una muestra de MegaCortex descubierta por MalwareHunterTeam , analizada por  Vitali Kremez y compartida con BleepingComputer, podemos obtener una nueva perspectiva de cómo funciona el ransomware.

La muestra particular que se encontró es un código firmado con un certificado de una compañía del Reino Unido llamada ” ABADAN PIZZA LTD “. Esta compañía probablemente fue abandonada y luego reclamada por los atacantes bajo sus propios alias para comprar un certificado.

Certificado utilizado para firmar ransomware

 

Certificado utilizado para firmar ransomware

En este ejemplo, ya no es necesario proporcionar una cadena codificada en base64 especial para que la carga útil de DLL se descomprima e inyecte en la memoria. Ahora simplemente puede ejecutar el archivo ejecutable y el ransomware comenzará a cifrar la computadora.

Kremez cree que este cambio se realizó para aumentar la escala de sus operaciones y simplificar su ejecución.

“Creo que están intentando escalar sus operaciones y llegar a más víctimas. Simplificando su enfoque sin la ejecución de múltiples capas de guiones”, dijo Kremez a BleepingComputer.

Cuando se ejecuta, MegaCortex mostrará una salida en ejecución de los archivos procesados ​​y su etapa actual de operación. Como puede ver en la salida del ransomware a continuación, MegaCortex fue diseñado para ser monitoreado por un atacante en vivo y luego ser limpiado después de que la ejecución haya finalizado.

Archivos de cifrado MegaCortex

 

Archivos de cifrado MegaCortex

Kremez le dijo a BleepingComputer que cuando se inicie el ejecutable, terminará o deshabilitará 1.396 servicios y procesos de Windows diferentes. Estos procesos incluyen software de seguridad, servidores de bases de datos, servidores de correo y software de respaldo. Se puede encontrar una lista completa de servicios inhabilitados y procesos terminados en el repositorio GitHub de Kremez .

Este proceso de terminación se realizó previamente en un archivo por lotes, pero ahora está integrado en el propio ransomware.

El ransomware comenzará a cifrar los archivos en los discos duros de la víctima. Al cifrar archivos, no cifrará ninguno de los siguientes tipos de archivos, nombres de archivos o archivos en las carpetas enumeradas.

.dll
.exe
.sys
.mui
.tmp
.lnk
.config
.manifest
.tlb
.olb
.blf
.ico
.regtrans-ms
.devicemetadata-ms
.settingcontent-ms
.bat
.cmd
.ps1
desktop.ini
iconcache.db
ntuser.dat
ntuser.ini
ntuser.dat.log1
ntuser.dat.log2
usrclass.dat
usrclass.dat.log1
usrclass.dat.log2
bootmgr
bootnxt
temp\
.+\\Microsoft\\(User Account Pictures|Windows\\(Explorer|Caches)|Device Stage\\Device|Windows)\\

Como el ransomware cifra un archivo, agregará la  extensión .megac0rtx al nombre del archivo cifrado. Por ejemplo, test.jpg se cifrará y cambiará de nombre a test.jpg.megac0rtx.

Archivos cifrados MegaCortex

 

Carpeta de archivos cifrados MegaCortex

Cada archivo cifrado también incluirá el  marcador de archivo MEGA-G8 = como se muestra a continuación.

Marcador de archivos en archivos cifrados

 

Marcador de archivos en archivos cifrados

Como su cifrado, el ransomware también creará un archivo de registro en C: \ x5gj5_gmG8.log que contendrá una lista de archivos que el ransomware no pudo cifrar.

Cuando haya terminado de cifrar los archivos, el ransomware creará una nota de rescate llamada  !!! _ READ-ME _ !!!. Txt y la guardará en el escritorio de la víctima. Esta nota de rescate contiene correos electrónicos que la víctima puede usar para ponerse en contacto con los atacantes para averiguar las instrucciones de pago. La nota indica que los montos de rescate oscilan entre 2-3 bitcoins y 600 BTC.

MegaCortex Ransom Note

 

MegaCortex Ransom Note

Durante su ejecución, el ransomware también eliminará las copias de Shadow Volume con el  vssadmin delete shadows /all /for=C:\ comando.

Además, Kremez le dijo a BleepingComputer que hay referencias al Cipher /W: comando de Windows  , que se usa para sobrescribir los datos eliminados para que no puedan recuperarse utilizando el software de recuperación de archivos.

Ahora que se ha encontrado una muestra, los investigadores analizarán el algoritmo de cifrado del ransomware para detectar debilidades. Si algo nuevo se desarrolla, actualizaremos este artículo.

La nota de rescate puede restar valor a los pagos

Hemos visto muchas notas de rescate aquí en BleepingComputer y puedo decir que el lenguaje utilizado en MegaCortex es uno de los más agresivos que he visto hasta la fecha.

La mayoría de los ransomware intentarán guiar a una víctima a través del proceso de pago y mostrarán matices casi simpáticos a sus solicitudes. En cambio, la nota de rescate MegaCortex va en la dirección opuesta completa.

Están en blanco y dicen que no negocian, no se preocupan por sus dificultades y no tienen ninguna compasión de que hayan cifrado sus archivos.

Y, por favor, no comience su primera carta con las palabras: 
“¡Es un error! Nuestra compañía solo está recortando y acicalando perritos. No tenemos dinero en absoluto”. 
“¡Hay un gran error en nuestro sitio! 
No somos líderes en nuestra industria y todos nuestros competidores no nos chupan el enorme dinero. 
Somos solo una pequeña empresa y nos estamos muriendo debido a la dura competencia”. 
“No somos la Super Mega International Corporation ltd., Solo somos una guardería, etc.”

Lo vemos 5 veces al día. ¡Esto no funciona en absoluto! 
No desperdicies nuestro y tu tiempo.

Recuerda ! No trabajamos por comida. 
Tienes que pagar por el descifrado en Bitcoins (BTC). 
Si crees que pagas $ 500 y obtendrás el descifrador, estás a 50 millones de años luz de la realidad 🙂 
El rescate comienza desde 2-3 BTC hasta 600 BTC. 
Si no tienes dinero ni nos escribas. 
¡No hacemos caridad!

Es difícil determinar si este tono hará o no el favor del desarrollador de ransomware. Lo que no sé es que las víctimas de ransomware se sienten violadas, lastimadas. y enojado y esta nota de rescate no los hará sentir mejor.

IOCs:

Hashes:

77ee63e36a52b5810d3a31e619ec2b8f5794450b563e95e4b446d5d3db4453b2

Archivos asociados:

winnit.exe
x5gj5_gmG8.log
payload.dll
!!!_READ-ME_!!!.txt

Texto de la nota de rescate:

If you are reading this text, it means, we've hacked your corporate network.
Now all your data is encrypted with very serious and powerful algorithms (AES256 and RSA-4,096).
These algorithms now in use in military intelligence, NSA and CIA .
No one can help you to restore your data without our special decipherer.
Don't even waste your time.

But there are good news for you.
We don't want to do any damage to your business.
We are working for profit.

The core of this criminal business is to give back your valuable data in original form (for ransom of course).

In order to prove that we can restore all your data, we'll decrypt 3 of your files for free.
Please, attach 2-3 encrypted files to your first letter.
Each file must be less than 5 Mb, non-archived and your files should not contain valuable information
(databases, backups, large word files or excel sheets, etc.).
You will receive decrypted samples and our conditions how to get the decipherer.

For the fastest solution of the problem, please, write immediately in your first letter:
the name of your company,
the domain name of your corporate network and
the URL of your corporate website
It is important !

And please do not start your first letter to us with the words:
"It's a mistake !! Our company is just trimming and grooming little dogs. We don't have money at all."
"There is a big mistake on our site !
We are not leaders in our industry and all our competitors don't suck our huge **ck.
We're just ? small company, and we are dying because of hard competition."
"We are not the Super Mega International Corporation ltd., we are just a nursery etc."

We see it 5 times a day. This sh*t doesn't work at all !!!
Don't waste our and your time.

Remember ! We don't work for food.
You have to pay for decryption in Bitcoins (BTC).
If you think you pay $500 and you'll get the decryptor, you are 50 million light years away from reality :)
The ransom begins from 2-3 BTC up to 600 BTC.
If you don't have money don't even write to us.
We don't do charity !

One more time :

1.(In first letter) write the name of your company, the domain name of your corporate network and the URL of your corporate website
2. Attach 2-3 encrypted files (we'll show you some magic)
3. Use Google in order to find out how to buy bitcoins fast

As soon as we get bitcoins you'll get all your decrypted data back.

Contact emails:
MckinnisKamariyah91@mail.com
or
ThomassenVallen1999@mail.com

Man is the master of everything and decides everything.

Direcciones de correo electrónico asociadas:

MckinnisKamariyah91@mail.com
ThomassenVallen1999@mail.com 




Fuente: bleepingcomputer
Follow me:

También te puede interesar

Deja un comentario

error: Content is protected !!