MegaCortex Ransomware

MegaCortex est une variété de ransomware apparue au début de 2019. Cependant, au cours de la première semaine de mai 2019, les chercheurs en sécurité de Sophos ont constaté une très forte augmentation du nombre d'attaques utilisant MegaCortex. Les attaques visaient des victimes du monde entier, de l'Europe au Canada et aux États-Unis. Le vecteur d’attaque utilisé par MegaCortex est devenu de plus en plus avancé et utilise actuellement des techniques manuelles et automatisées, La partie automatisée du processus est dédiée à l’infection du plus grand nombre possible de systèmes du réseau. En ce sens, MegaCortex est similaire à Ryuk ransomware qui repose également sur des travaux pratiques et sur la recherche de failles dans le système, puis sur le vol d'informations de connexion, avant que l'attaque automatisée transmet le ransomware.

Le Ransomware de Matrix

Le nom MegaCortex est probablement une faute d’orthographe intentionnelle de MetaCortex - la société de logiciels fictive pour laquelle Neo de Keanu Reeves a travaillé dans le film « the Matrix ».

Selon les conclusions et le rapport publiés par Sophos, les attaquants ont utilisé un script d'équipe rouge pour appeler un shell inversé sur le réseau de la victime. Les équipes rouges, en matière de cybersécurité, sont des organisations indépendantes qui peuvent être embauchées pour contester la sécurité d'une entreprise, la tester et l'attaquer comme le ferait un mauvais acteur, dans un environnement contrôlé et dans l'intérêt du client. Une fois que le shell revere est activé, les mauvais acteurs derrière MegaCortex exécutent des scripts PowerShell ainsi que des fichiers de commandes hébergés à distance qui permettent à MegaCortex de déployer des charges utiles secondaires, incorporées à l'origine dans le rançongiciel.

Sophos a également noté la possibilité d’une connexion entre MegaCortex et les programmes malveillants Emotet et Qbot, car les réseaux touchés par MegaCortex étaient infectés par Emotet et Qbot lorsqu’ils étaient examinés. Étant donné que Emotet et Qbot peuvent tous deux servir de véhicules pour une charge utile distincte, il est possible qu'ils aient joué un rôle dans les infections, mais il n'y a aucune preuve directe de celle-ci.

Comment MegaCortex s’Infiltre dans les Ordinateurs de Ses Victimes

Dans un cas d'attaque, le point d'entrée était un contrôleur de domaine. Les attaquants semblent avoir déjà volé les informations de connexion du contrôleur de domaine, dans le cadre de l'approche directe et manuelle de l'attaque. MegaCortex utilise un fichier de commandes pour arrêter le logiciel en cours d'exécution et tuer les processus susceptibles d'interférer avec son exécution et qui sont liés à la sécurité du système et aux solutions anti-malware - ce que la quasi-totalité des logiciels ransomware actuels utilisent pour assurer un fonctionnement ininterrompu. Un total de 44 processus, 189 services sont terminés, puis 194 services ne sont pas configurés pour démarrer au démarrage.

Le package complet remis à la victime comprend le fichier de commandes, un fichier exécutable nommé rstwg.exe qui est en réalité une copie de PsExec, ainsi que l'exécutable principal du rançongiciel. Une fois que le fichier de commandes ferme tout possible et s'assure que les services ne redémarrent pas, l'exécutable principal nommé winnit.exe (peut-être une autre faute de frappe intentionnelle de wininit.exe, un processus Windows légitime) est appelé avec une ligne de commande. argument qui consiste en données codées. Cela entraîne winnit.exe à abandonner et à exécuter une charge DLL contenant un nom de huit lettres aléatoires. C'est le module qui effectue le cryptage réel. Sophos signale également avoir trouvé un autre groupe de fichiers de commandes nommés de 1.bat à 6.bat destinés à répartir la charge winnit.exe sur le réseau.

MegaCortex dépose sa note de rançon dans le répertoire racine du disque dur du système, sous la forme d'un fichier texte. Voici le texte complet de la note:

Les systèmes de cyberdéfense de vos entreprises ont été pesés, mesurés et jugés insuffisants.
La violation résulte d'une grave négligence des protocoles de sécurité.
Tous les ordinateurs de votre ordinateur ont été endommagés par le logiciel malveillant MegaCortex qui a crypté vos fichiers.

Nous ne pouvons que vous montrer la porte. Vous êtes celui qui doit le traverser.

Le fichier .tsv généré par MegaCortex a le même nom que la DLL malveillante mentionnée ci-dessus. Le fichier lui-même contient les enregistrements de chaque fichier crypté, ainsi qu'une chaîne encodée en base64 et deux chaînes hexadécimales séparées de 40 caractères. Selon la note de rançon, il s’agit de « clés de session cryptées » dont les criminels prétendent avoir besoin pour déchiffrer les fichiers de la victime. Il n’existe pas de demande de rançon spécifique dans la note, éventuellement pour donner aux mauvais acteurs derrière MegaCortex plus de flexibilité pour adapter le montant de la rançon en fonction du type et de la taille de l’entreprise attaquée.

Fichiers et Extensions Cryptés

Au moins une infection MegaCortex a utilisé l'extension « .aes128ctr » pour marquer les fichiers cryptés, en ajoutant l'extension après celle d'origine. De cette manière, un fichier nommé « invoice.pdf » deviendra « invoice.pdf.aes128ctr » une fois que MegaCortex l'aura crypté. L'extension implique que le ransomware puisse utiliser le cryptage AES-128 mais cela n'a pas été confirmé. De plus, on ne sait pas si les extensions sont statiques et slles sont utilisées dans toutes les attaques ou si différentes attaques utilisent des extensions différentes.

Comme avec tous les ransomwares, malgré le ton professionnel de la note de rançon, rien ne garantit qu'une victime de MegaCortex récupérera jamais ses fichiers, même si la rançon est payée. À l'heure actuelle, il n'existe aucun outil de décryptage capable de restaurer des fichiers cryptés par MegaCortex.

MegaCortex Ransomware captures d'écran