Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Вымогатель MegaCortex атакует корпоративный сектор

08/05/19

Cortex attacks

Специалисты Sophos опубликовали отчет, посвященный повышенной активности шифровальщика MegaCortex.

Данный вымогатель ориентирован преимущественно на корпоративный сектор и используется во время тщательно спланированных целевых атак. Подобные инциденты стали настоящим трендом в последнее время, и от таргетированных атак вымогателей пострадало множество крупных компаний: достаточно вспомнить «подвиги» малвари LockerGoga, чьей жертвой стал один из крупнейших в мире производителей алюминия, компания Norsk Hydro, а также ряд крупных химических предприятий. Другие угрозы, использующие похожий подход, это Ryuk, Bitpaymer, Dharma, SamSam и Matrix.

 

Аналитики Sophos рассказали, что MegaCortex был обнаружен еще в январе текущего года, когда кто-то загрузил образчик малвари на VirusTotal. С тех пор количество атак неуклонно растет: в общей сложности эксперты зафиксировали уже 76 инцидентов, и 47 из них (почти две трети) пришлись на прошлую неделю.

От атак MegaCortex пострадали компании в США, Канаде, Нидерландах, Ирландии, Италии и Франции. Операторы шифровальщика стараются как можно быстрее добраться до контроллера домена, и распространить угрозу на максимальное количество систем. «Опознать» MegaCortex можно по вымогательскому сообщению, увидеть которое можно ниже, или по измененным расширениям файлов – вредонос меняет их на случайную последовательность из восьми символов.

В своем отчете исследователи Sophos признают, что пока им не удалось определить, как именно вымогатель попадает на зараженные хосты. В свою очередь, ИБ-эксперты пишут в социальных сетях (1, 2), что MegaCortex, очевидно, использует для этого загрузчик Rietspoof. Это довольно интересное наблюдение, так как обычно шифровальщики попадают в сети компаний через брутфорс плохо защищенных RDP-эндпоинтов или в качестве пейлоада второй стадии атаки, уже после заражения машин малварью Emotet или Trickbot.

Темы:УгрозыSophosВымогателишифровальщики
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...