Milano — 5月 13, 2019 —

Sophos, leader globale nella sicurezza degli endpoint e della rete, ha identificato un nuovo malware: MegaCortex, relativamente poco noto fino al 1° maggio, quando ha improvvisamente incrementato il proprio impatto.

Sophos ha rilevato attacchi MegaCortex negli Stati Uniti, Canada, Argentina, Italia, Paesi Bassi, Francia, Irlanda, Hong Kong, Indonesia e Australia. Il ransomware ha componenti manuali simili a Ryuk e BitPaymer, ma i creatori utilizzano anche strumenti più automatizzati per effettuare l'attacco, e questa rappresenta un elemento di novità.

Finora, Sophos ha scoperto attacchi automatizzati, attacchi manuali e attacchi misti, che in genere tendono maggiormente all'uso di tecniche di hacking manuale per muoversi lateralmente; con MegaCortex, Sophos ha invece evidenziato un maggiore uso dell'automazione abbinato alla componente manuale. Questa nuova formula è stata progettata per colpire un numero più ampio di vittime in poco tempo.

Chiunque sia stato infettato deve confrontarsi con una richiesta di riscatto scritta nello stile che ricorda il personaggio di Matrix Morpheus: “I sistemi di difesa informatica delle vostre aziende (sic) sono stati valutati, misurati e sono stati trovati carenti. La violazione è il risultato della grave negligenza dei protocolli di sicurezzaIo posso condurti fino alla soglia, ma la porta devi varcarla da solo”. 

Come indicato nell'articolo condiviso da SophosLabs Uncut, “MegaCortex, il ransomware ‘unico’”, non è stata segnalata una cifra standard per il riscatto richiesto dai cybercriminali alle proprie vittime. Gli hacker chiedono alle loro vittime di inviare un'e-mail a mail.com e successivamente inviano un file eseguibile sul disco rigido della vittima in grado per richiedere i "servizi" di decriptazione. La richiesta di riscatto è accompagnata dalla promessa che a pagamento effettuato l’azienda non rischierà ulteriori attacchi e, ironicamente, assicura che verrà fornita "una consulenza su come migliorare la sicurezza informatica dell’azienda".

A fronte di questo episodio, Sophos ha condiviso una serie di considerazioni e suggerimenti:

  • Sembra che ci sia una forte correlazione tra la presenza di MegaCortex e un'infezione preesistente come Emotet o Qbot. Se i responsabili IT vedono avvisi di infezioni da Emotet o Qbot, è caldamente raccomandata un’analisi accurata. Entrambi i bot possono essere utilizzati per distribuire altri malware, ed è possibile che sia così che gli attacchi MegaCortex inizino.
  • Sophos non ha evidenziato finora alcuna indicazione che il Remote Desktop Protocol (RDP) sia stato usato in modo improprio per entrare nelle reti, ma sappiamo che i buchi nei firewall aziendali, che permettono alle persone di connettersi a RDP, sono piuttosto diffusi. Sophos scoraggia fortemente questa pratica e suggerisce che qualsiasi amministratore IT utilizzi macchina RDP attraverso una VPN.
  • Poiché gli attacchi sembrano indicare l’exploit della password dell’admin, si consiglia l’abilitazione dell'autenticazione a due fattori laddove possibile.
  • Mantenere backup regolari dei dati più importanti e attuali su un dispositivo di archiviazione offline è il modo migliore per evitare di dover pagare un riscatto.
  • Implementare la protezione anti-ransomware, come Sophos Intercept X, per bloccare MegaCortex e i futuri ransomware.

"Sospettiamo che questo sia un buon esempio di quello che ultimamente chiamiamo cybercriminal pen-testing. I creatori di MegaCortex hanno adottato un approccio misto e l’hanno elevato all’ennesima potenza, aumentando il componente automatizzato per colpire più vittime. Una volta che i cybercriminali hanno le credenziali di amministrazione, non c'è modo di fermarli. Lanciare l'attacco dal proprio controller di dominio è un ottimo modo per conquistare tutta l'autorità di cui hanno bisogno per avere un impatto su tutto il sistema informatico. Le aziende devono prestare attenzione ai controlli di sicurezza di base ed eseguire valutazioni di sicurezza, prima dei criminali, per evitare che questa tipologia di attacco si traduca in minacce estremamente dannose" John Shier, Senior Security Advisor, Sophos

ソフォスについて

ソフォスは、MDR (Managed Detection and Response) サービス、インシデント対応サービス、およびエンドポイント、ネットワーク、メール、クラウド セキュリティ テクノロジーの幅広いポートフォリオなど、サイバー攻撃を阻止する高度なセキュリティソリューションを提供する世界的なリーダーであり、革新的な企業です。ソフォスは、最大手のサイバーセキュリティ専門プロバイダーの 1つであり、全世界で 60万以上の組織と 1億人以上のユーザーを、アクティブな攻撃者、ランサムウェア、フィッシング、マルウェアなどから保護しています。ソフォスのサービスと製品は、Sophos Central 管理コンソールを介して接続され、企業のクロスドメイン脅威インテリジェンスユニットである Sophos X-Ops を利用しています。Sophos X-Ops のインテリジェンスは、Sophos ACE (Adaptive Cybersecurity Ecosystem) 全体を最適化します。このエコシステムには、お客様、パートナー、開発者、その他のサイバーセキュリティおよび情報技術ベンダーが利用できる豊富なオープン API セットを活用する一元化されたデータレイクが含まれます。ソフォスは、フルマネージド型のソリューションを必要とする組織に、Cyber​​security-as-a-Service を提供します。お客様は、ソフォスのセキュリティ運用プラットフォームを使用してサイバーセキュリティを直接管理することも、脅威ハンティングや修復などソフォスのサービスを使用して社内チームを補完するハイブリッドアプローチを採用することもできます。ソフォスは、リセラーパートナー、MSP (マネージド サービス プロバイダ) を通じて販売しています。ソフォス本社は英国オックスフォードにあります。詳細については www.sophos.com をご覧ください。