Xuất hiện mã độc nguy hiểm mới Ransomware MegaCortex

Mới đây, Sophos Lab phát hiện một dòng ransomware mới tự gọi là MegaCortex, sử dụng các kỹ thuật tinh vi tấn công với số lượng ngày càng gia tăng tại Ý, Hoa Kỳ, Canada, Hà Lan, Ireland và Pháp. MegaCortex được Sophos Lab đánh giá sử dụng các kỹ thuật lây nhiễm phức tạp nhất từ trước đến nay, khiến nó khó bị phát hiện và ngăn chặn hơn rất nhiều.

Phương pháp lây nhiễm phức tạp MegaCortex sử dụng đòn bẩy cả thành phần tự động và thủ công, và dường như liên quan đến một lượng lớn tự động hóa để lây nhiễm số lượng lớn nạn nhân. Trong các cuộc tấn công mà Sophos đã điều tra, những kẻ tấn công đã sử dụng một kịch bản công cụ tấn công phổ biến để gọi một lớp vỏ ngược chiều trong môi trường nạn nhân. Từ lớp vỏ ngược, chuỗi lây nhiễm sử dụng các tập lệnh PowerShell, các tệp bó từ các máy chủ từ xa và các lệnh chỉ kích hoạt phần mềm độc hại để giảm tải trọng thực thi thứ cấp được mã hóa (đã được nhúng trong phần mềm độc hại bị bỏ ban đầu) trên các máy được chỉ định.

Cuộc tấn công đã được kích hoạt, trong ít nhất một môi trường nạn nhân, từ một bộ điều khiển miền trong mạng doanh nghiệp có thông tin quản trị mà kẻ tấn công dường như đã có được nhờ một cuộc đột nhập từ trước.

Cho đến nay đã có 76 cuộc tấn công được xác nhận đã bị chặn bởi Intercept X kể từ tháng 2, với 47 trong số đó (hoặc khoảng 2/3 trong số các sự cố đã biết) xảy ra trong 48 giờ qua. Mỗi cuộc tấn công nhắm vào một mạng doanh nghiệp với số lượng lớn các thiết bị bị lây nhiễm.

Qua phân tích dường như có mối tương quan giữa Các cuộc tấn công của MegaCortex và sự hiện diện trên cùng một mạng của cả phần mềm độc hại Emotet và Qbot (còn gọi là Qakbot).

Cả hai họ phần mềm độc hại này đều có khả năng đóng vai trò là phương tiện phân phối cho các tải trọng phần mềm độc hại khác, với Emotet được liên kết chặt chẽ với phần mềm đánh cắp phần mềm độc hại Trickbot, cũng có thể tải xuống và cài đặt thêm tải phần mềm độc hại cho các máy tính bị nhiễm. Chúng tôi đã thấy không có bằng chứng trực tiếp rằng Emotet hoặc Qbot là nguồn.

Kẻ tấn công, sử dụng tín dụng quản trị viên bị đánh cắp, đã thực thi tập lệnh PowerShell bị che khuất rất nhiều.Tước lại ba lớp obfuscation cho thấy một loạt các lệnh giải mã một đốm dữ liệu được mã hóa base64. Các đốm màu dường như là một kịch bản Cobalt Strike mở lớp vỏ đảo ngược của métpreter vào mạng Nạn nhân.

Kẻ tấn công đưa ra các lệnh thông qua bộ điều khiển miền bị xâm phạm (DC) mà kẻ tấn công đang truy cập từ xa bằng cách sử dụng lớp vỏ ngược.

DC sử dụng WMI để đẩy phần mềm độc hại – một bản sao của PsExec được đổi tên thành rstwg.exe, phần mềm độc hại chính có thể thực thi và tệp bó – đến phần còn lại của các máy tính trên mạng mà nó có thể truy cập và sau đó chạy tệp bó từ xa PsExec.

Tệp bó dường như chỉ là một danh sách dài các lệnh để tiêu diệt 44 quy trình, ra lệnh dừng cho 189 dịch vụ khác nhau và chuyển Loại khởi động cho 194 dịch vụ khác nhau thành Vô hiệu hóa, ngăn không cho chúng khởi động lại.

Những kẻ tấn công nhắm vào rất nhiều phần mềm bảo mật, bao gồm một số dịch vụ Sophos, để ngăn chặn chúng và cố gắng đặt chúng thành Vô hiệu hóa, nhưng cài đặt được cấu hình đúng sẽ giành được điều này.Bước cuối cùng của tệp bó là khởi chạy tệp thực thi được tải xuống trước đó, winnit.exe. Tệp bó thực thi winnit với cờ lệnh là một đoạn dữ liệu được mã hóa base64.

Lệnh này gọi winnit.exe để thả và thực thi một tải trọng DLL với tên tệp ký tự tám chữ cái ngẫu nhiên thực hiện mã hóa thù địch. Ngoài ra còn có dấu hiệu kẻ tấn công sử dụng các tệp bó khác, được đặt tên với các số từ 1.bat đến 6.bat, đang được sử dụng để phát lệnh để phân phối winnit.exe và tệp bó của bộ kích hoạt trên mạng xung quanh mạng nạn nhân.

Phần mềm ransomware tạo một tệp có phần mở rộng tệp .tsv và cùng tên tệp tám chữ cái ngẫu nhiên như DLL độc hại và thả tệp đó vào ổ cứng. Yêu cầu tiền chuộc yêu cầu một nạn nhân gửi tệp này với yêu cầu của họ để trả tiền chuộc, được gửi đến một trong hai địa chỉ email mail.com miễn phí.

Mẫu Ransomware này được Sophos Lab phát hiện sớm nhất với mã định danh là Bat / Agent-BBIY, Troj / Agent-BBIZ, Troj / Agent-BAWS và Troj / Ransom-FJQ.