Anfang Mai wurde bei Sophos eine neue Ransomware gefunden die sich MegaCortex nennt. Aufmerksam wurden die Security Experten bei Sophos als diese einen Anstieg der Angriffe auf Sophos Kunden in der ganzen Welt entdeckten. Betroffen sind unter anderem Länder in Europa, wie z.B. Italien und die Niederlande sowie die Vereinigten Staaten und Kanada.
Es scheint also sehr wahrscheinlich, diesen Virus bald auch in Deutschland zu finden.
Die Ransomware verwendet PowerShell-Skripte, Batch-Dateien von Remote-Servern und Befehle, die die Malware veranlassen, Dateien auf Computern zu verschlüsseln.
Der Virus erzeugt dabei eine Datei mit der Erweiterung „.tsv“ und dem gleichen Dateinamen mit acht zufälligen Buchstaben sowie die bösartige DLL und legt sie auf der Festplatte ab.
MegaCortex auf Domänencontrollern gefunden
Dabei werden die Angriffe in vielen Umgebungen von einem Domänencontroller (DC) innerhalb eines Unternehmensnetzwerkes ausgelöst, dessen administrative Anmeldeinformationen die Angreifer erhalten haben. Die Malware verwendet auch eine Batch-Datei, um laufende Programme zu beenden und eine große Anzahl von Diensten zu beenden, von denen viele mit Sicherheitssystemen oder dem Antivirenschutz zu tun zu haben.
MegaCortex fordert bisher kein Lösegeld
Damit die verschlüsselten Dateien wiederhergestellt werden können, müssen die Angreifer per Email kontaktiert werden. Während die Lösegeldforderung keinen Preis erwähnt, den die Kriminellen verlangen, bieten diese den Opfern „eine Beratung darüber, wie Sie die Sicherheit Ihres Unternehmens im Internet verbessern können“ und „eine Garantie dafür, dass Ihr Unternehmen nie wieder von uns belästigt wird“.
John Shier, Senior Security Advisor bei Sophos in einer ersten Einschätzung:
Wir vermuten, dass dies ein `Skript-Kiddie-Rundumsorglospaket ist und ein gutes Beispiel für das, was wir in letzter Zeit als cyberkriminelles Pentesting bezeichnet haben. Die MegaCortex-Angreifer waren im Stealth-Modus unterwegs und haben sich so Zugang zu den wichtigsten Systembereichen verschafft. Sobald sie Administrator-Anmeldeinformationen ihrer Opfer haben, können sie nicht mehr gestoppt werden. Das Starten des Angriffs vom Domänencontroller des Opfers aus ist eine großartige Möglichkeit für die Angreifer, alle Befugnisse zu übernehmen, die sie benötigen, um alles in einem Unternehmen zu beeinflussen. Organisationen müssen auf grundlegende Sicherheitsmaßnahmen und -bewertungen achten, um zu verhindern, dass solche Angreifer sich durchmogeln. Moderne Next Generation Anti-Ransomware-Technologie, wie beispielsweise bei uns Intercept X, stoppt diese Attacken automatisch.
John Shier, Senior Security Advisor bei Sophos
Fazit unserer Security Experten
Da es täglich neue Viren, trojanische Pferde oder Ransomware wie MegaCortex gibt, empfiehlt es sich die Netzwerkumgebung mit einem anständigen Virenschutz auszustatten, der die Viren bestenfalls schon vor dem Angriff erkennt und somit das Netzwerk jederzeit absichert.
Quellen
https://news.sophos.com/en-us/2019/05/03/megacortex-ransomware-wants-to-be-the-one/