Proteção de Dados – É fácil esquecer que os autores de malware são seres humanos regulares com hobbies e interesses – não tão diferentes de muitas de suas vítimas, na verdade.
Existe uma tendência de incorporar referências à cultura popular em malware – como o criador de um novo tipo de ransomware, chamado MegaCortex.
O MegaCortex chama a atenção para a corporação de software o Metacortex do filme de ficção científica “Matrix”.
No caso do ransomware MegaCortex, qualquer equipamento infectado é confrontado com uma nota de resgate escrita no estilo reminiscente do personagem Morpheus:
“Seus sistemas de defesa cibernética de empresas foram pesados, medidos e foram encontrados em falta. A violação é o resultado de grave negligência de protocolos de segurança”.
E:
“Nós só podemos mostrar-lhe a porta. Você é o único que tem que passar por isso”.
Em um momento, a rede parecia segura. No seguinte, como se do nada, a nota de resgate aparecesse.
Retire a alusão do filme e o MegaCortex é simplesmente um exemplo de como os ataques de ransomware nos dias de hoje geralmente acontecem, onde as vítimas são selecionadas antecipadamente por causa de falhas de segurança que os vigaristas já identificaram, ou senhas que já adquiriram.
Por exemplo, pelo menos um dos ataques detectados pela SophosLabs nos últimos dias usou credenciais roubadas de um controlador de domínio, destacando que os criminosos gastaram tempo procurando essas credenciais para desencadear o que era efetivamente um ataque direcionado.
O MegaCortex é um bom exemplo de que o ransomware não desaparece, mesmo que a atenção da mídia tenha passado para o que parecem ataques maiores e mais devastadores.
Nos últimos meses, cobrimos vários ataques graves foram divulgados, incluindo um contra uma faixa de jornais dos EUA que atrasou a publicação deles e, mais recentemente, um ataque contra um hospital usando o malware GandCrab.
Evitar acabar com mais uma estatística na lista de vítimas requer algum trabalho, portanto, confira nossas dicas anti-ransomware em nossa cobertura do ransomware SamSam, que já foi difundido.
Não há nada simples disso, tanto quanto muitos pequenos que podem fazer a diferença. No entanto, prestar muita atenção à segurança das contas privilegiadas é um bom lugar para começar.
Como Morpheus da Matrix observou:
“Acredite em mim quando digo que temos um tempo difícil pela frente. Mas se devemos estar preparados para isso, devemos primeiro nos livrar do medo dela”.
Orquestração de ataque de arquivos em lote
Um alvo de ataque que compartilhou amostras com a SophosLab descobriu que os invasores utilizaram vários controladores de domínio em seu ambiente para realizar o ataque.
Essa pessoa encontrou seis arquivos em lote, com nomes de arquivos de apenas 1 a 6, em um desses CDs comprometidos. Esses arquivos em lote parecem ter sido usados para orquestrar a fase de ataque que entregou o arquivo executável do malware (winnit.exe) e seu arquivo em lotes “launcher” (stop.bat) às máquinas sob a jurisdição do DC relevante.
Os arquivos em lote, usando dois métodos diferentes, tentam (1) copiar o executável do ransomware e seu arquivo em lotes do iniciador para as máquinas na LAN do destino e (2) executar o arquivo em lotes do iniciador usando dois métodos diferentes, WMI e PsExec. Cada arquivo de lote é uma longa lista do mesmo comando, segmentando cada máquina uma após a outra.
Os arquivos em lote parecem ser executados pelos endereços IP internos de cada máquina de destino em ordem decrescente, mas não incluem todos os endereços IP possíveis no intervalo interno.
Ainda não se sabe como os invasores criam uma lista de endereços IP de destino que eles criam nos scripts em lote. (O arquivo rstwg mencionado no sexto arquivo de lote é uma cópia do binário legítimo do Windows PxExec.exe, renomeado e copiado no diretório% temp%).
Execução dependente do tempo do MegaCortex
Após esforços para se executar amostra inicial do MegaCortex depois de obtê-la, e vários de seus arquivos de suporte, bem como registros de uma das instituições-alvo, sabe-se que em cada infecção, os binários MegaCortex foram distribuídos a partir de uma máquina controladora de domínio na rede interna.
O (s) agente (s) de ameaça usaram credenciais de administrador roubadas para efetuar login e, em seguida, usaram o WMI para enviar e PsExec a carga útil para a rede inteira (visível e on-line) de uma só vez.
O malware é um pacote de pelo menos dois arquivos, o arquivo em lote stop.bat, usado para iniciar o MegaCortex, e o winnit.exe, o próprio executável de malware (até agora, chamado winnit.exe), que faz a criptografia. O arquivo em lote, quando executado, mata muitos processos e serviços, muitos dos quais podem impedir que alguma ou toda a criptografia de arquivos continue.
A última linha desse arquivo em lote é uma linha de comando que executa o malware. O comando usa uma string de base64 como uma espécie de senha para iniciar o arquivo. Sem usar essa string, o binário é encerrado.
Mas há outro problema ao executar o malware: cada binário depende também do tempo. O malware só será executado se ambas as condições forem atendidas: Você deve (a) usar a senha correta e (b) o relógio no sistema de destino deve estar dentro de um período de 3 horas codificado no próprio binário de malware.
Conexão estranha com uma família de malwares diferentes
Muitas pessoas dentro do SophosLabs e da comunidade de segurança em geral comentaram que a lista de processos e serviços no arquivo em lote está muito próxima, se não idêntica, a um arquivo em lote usado para o mesmo propósito pelo ransomware LockerGoga. É uma conexão intrigante com outra família de malware.
Não é o único. Pelo menos um dos endereços C2 que os contatos do MegaCortex também foram usados como um C2 para LockerGoga, assim como vários outros malwares.
Além disso, na análise inicial dos binários de malware MegaCortex revela várias características internas incomuns, ou peculiaridades de comportamento que também foram exibidas pela LockerGoga. Por exemplo:
A maioria dos outros ransomwares renomearão a versão criptografada de um determinado arquivo somente depois de criptografá-lo, mas tanto o MegaCortex quanto o LockerGoga renomearão os arquivos primeiro, antes de criptografá-los.
Há suspeita que esta é uma maneira de evitar que as execuções redundantes do malware, de forma redundante, criptografem os mesmos arquivos duas vezes.
O winnit.exe MegaCortex binário descriptografa e descarta uma DLL incorporada, que ele usa para executar as etapas de criptografia. Semelhante ao ransomware LockerGoga, o winnit.exe atua como um processo ‘pai’ e gera um processo rundll32.exe para carregar a DLL descartada como ‘filho’. O processo filho executa a criptografia real de arquivos, instruídos pelo pai winnit.exe, por meio de memória compartilhada.
O binário e a DLL compartilham parte da mesma memória.
A análise também mostra evidências de outra biblioteca de código chamada boost no MegaCortex, usada principalmente para comunicações entre processos; As mesmas funções da biblioteca de reforço também são usadas no LockerGoga.
E, pelo que vale a pena, o compilador usado para construir o MegaCortex é a versão 14.x, o mesmo que o LockerGoga.
Nenhum deles sozinho é suficiente para traçar uma linha entre os dois, especialmente porque parece que não há muita paridade de sub-rotina entre as duas famílias. Mas faz um pouco de lama na água e faz uma maravilha.
O processo de infecção bizarramente ruidoso
O MegaCortex não tem câmera tímida e não tenta ocultar sua presença. Na verdade, em uma máquina que está sendo ativamente criptografada pelo componente DLL do ransomware, alguém que saiba como usar um gerenciador de tarefas verá uma instância do rundll32.exe executando repetidamente.
Isso porque o malware parece executar uma nova instância do rundll32.exe para cada dez arquivos criptografados. Ele grava blocos de chaves em um arquivo com um nome de arquivo com oito pseudo-letras aleatórias e um sufixo .tsv que o malware cria na raiz da unidade C:.
Como vários outros ransomwares, o MegaCortex invoca o cipher.exe, outra dica de que algo muito errado pode estar acontecendo.
Aqui está uma comparação de trabalho em progresso de algumas das mudanças no sistema de arquivos que diferentes famílias de ransomware fazem.
Considerando a rapidez com que o malware parece estar direcionado, o agente de ameaça que está iniciando não se importa com a abordagem de espingarda uma vez dentro da rede.
O resultado é uma explosão não intencional de avisos nos logs de eventos do DC sobre as tentativas de falha do WMI quando o ator de ameaça lança o ataque de forma redundante.
Como é um ataque quando está acontecendo?
A SophosLab produziu um pequeno vídeo para ilustrar o que acontece quando o malware é executado com e sem a proteção da Sophos. Confira!
O Sophos Interceptx protege você desta e de muitas outras ameaças
Evite a perda de dados! O Sophos Antivírus detecta essas amostras como Bat / Agent-BBIY, Troj / Agent-BBIZ , Troj / Agent-BAWS e Troj / Ransom-FJQ. O Sophos Intercept X protege contra o ransomware MegaCortex.
Tem algo a dizer sobre este artigo? Comente abaixo ou compartilhe conosco no Facebook, Twitter ou no nosso LinkedIn.
Leia também:
- Proteção de Dados – Novo Malware HiddenWasp tem como alvo Sistemas Linux.
- Proteção de Dados – Hackers abusam da plataforma Cloud do Google para atacar roteadores D-Link.
- Proteção de Dados – Como o GDPR afeta as políticas de cookies do seu site.
- Proteção de Dados – As ameaças internas de perda de dados são hoje uma das grandes preocupações das pequenas empresas.
- Proteção de Dados – Zero-Day no cliente Counter-Strike é usado para construir Botnet.