Computer Security MegaCortex, eine Matrix-inspirierte Ransomware, ist auf...

MegaCortex, eine Matrix-inspirierte Ransomware, ist auf dem Vormarsch

Ransomware Megacortex vom Typ Matrix Eine neue, hoch entwickelte Ransomware-Bedrohung namens MegaCortex wurde von den Forschern von Sophos entdeckt, um auf Unternehmensnetzwerke auf der ganzen Welt abzuzielen. Sobald die Ransomware installiert ist, kann sie über Windows-Domänencontroller auf alle verfügbaren Computer übertragen werden. Angriffe von MegaCortex wurden in mehreren Ländern beobachtet - in den USA, Kanada, Argentinien, Frankreich, Italien, den Niederlanden, Australien, Hongkong und Irland.

Cyberkriminelle selbst wählten den Namen dieser neuen Ransomware-Bedrohung und es scheint eine Hommage an MetaCortex zu sein, das Unternehmen, für das der Protagonist der Matrix-Trilogie im ersten Film arbeitet. Der Ton des Lösegeldscheins, den MegaCortex fallen lässt, scheint ebenfalls in der gleichen Weise zu verfasst zu sein wie der Dialog in den Matrix-Filmen.

Weitere Malware auf mit MegaCortex infizierten Systemen gefunden

Bei der Untersuchung der Angriffe von MegaCortex stellte Sophos eine interessante Tatsache fest: Neben der Ransomware waren auch die beiden anderen Malware-Bedrohungen Emotet und Qbot (auch als Qakbot bekannt) in den gefährdeten Netzwerken präsent. Derzeit ist nicht bekannt, ob MegaCortex die Netzwerke infiltriert hat oder ob sie von der Ransomware als sekundäre Nutzlast abgelegt wurden.

Es wurde jedoch bestätigt, dass in einigen Fällen ein kompromittierter Domänencontroller zum Auslösen der Angriffe verwendet wurde. Ein verschleiertes PowerShell-Skript wird verwendet, um eine Meterpreter-Reverse-Shell im Netzwerk des Opfers zu erstellen. Jetzt können die Angreifer ihre aus drei Dateien bestehende Malware - eine Kopie von PsExec mit dem Namen "rstwg.exe", eine Batch-Datei und die ausführbare Malware-Hauptdatei mit dem Namen "winnit.exe" - auf alle mit dem Netzwerk verbundenen Computer übertragen . Die Batchdatei wird dann remote über PsExec ausgeführt. Dies führt zur Initiierung einer Reihe von Befehlen, mit denen versucht wird, 44 Prozesse zu beenden und 189 Windows-Dienste zu beenden. Bei anderen 194 Diensten wurde der Starttyp in Deaktiviert geändert, sodass sie nicht erneut gestartet werden können.

Die letzte Aktion der Batch-Datei ist das Starten von "winnit.exe", der ausführbaren Hauptdatei der Ransomware. Im Gegenzug wird eine zufällig benannte DLL- Datei gelöscht und ausgeführt, die für die eigentliche Verschlüsselung der Daten des Opfers verantwortlich ist. Während des Verschlüsselungsprozesses wird eine .tsv- Datei mit demselben zufälligen Namen wie die .DLL- Datei auf dem gefährdeten Computer abgelegt. Der Name jeder verschlüsselten Datei, gefolgt von einer Base64-codierten Zeichenfolge und zwei 40 Hexadezimalzeichen, wird der TSV- Datei hinzugefügt.

MegaCortex Creators bieten Beratungsgespräche an

Die Lösegeld-Notiz für MegaCortex wird in einer Textdatei mit dem Namen " !!! _ READ_ME _ !!!. Txt " abgelegt. Wie bereits erwähnt, ist die Notiz in einem ziemlich dramatischen Stil verfasst. Die Anweisungen besagen, dass die einzige Möglichkeit, die verschlüsselten Dateien wiederherzustellen, darin besteht, die Entschlüsselungssoftware der Cyberkriminellen zu kaufen. Zu diesem Zweck sollten Opfer der Ransomware eine verschlüsselte Datei und die von MegaCortex erstellte .tsv- Datei an eine der beiden angegebenen E-Mail-Adressen senden. Darüber hinaus besagt der Hinweis, dass im Preis der Software eine "Garantie" enthalten ist, dass jedes Unternehmen, das die Zahlung vornimmt, in Zukunft nie wieder "belästigt" wird. Die Kriminellen werden auch eine Konsultation zur Verbesserung Ihrer Cybersicherheit einleiten. Wir glauben nicht, dass es notwendig ist zu erwähnen, dass solche Angebote nicht einmal im entferntesten ernst genommen werden sollten.

Der vollständige Text des Lösegeldscheins lautet:

Die Cyber-Abwehrsysteme Ihres Unternehmens wurden gewogen, gemessen und als mangelhaft befunden.
Der Verstoß ist auf die grobe Vernachlässigung von Sicherheitsprotokollen zurückzuführen.
Alle Ihre Computer wurden mit MegaCortex-Malware beschädigt, die Ihre Dateien verschlüsselt hat.

Wir sorgen dafür, dass Ihre Daten nur mit unserer Software schnell und sicher abgerufen werden können.
Die Wiederherstellung Ihrer Daten erfordert einen privaten Schlüssel, den nur wir besitzen.
Verschwenden Sie Ihre Zeit und Ihr Geld nicht damit, Software von Drittanbietern zu kaufen, ohne den privaten Schlüssel sind sie nutzlos.

Es ist wichtig, dass Sie Ihren Computer nicht neu starten oder herunterfahren.
Dies kann zu irreversiblen Schäden an Ihren Daten führen und Sie können Ihren Computer möglicherweise nicht wieder einschalten.

Um zu bestätigen, dass unsere Software funktioniert, senden Sie uns eine E-Mail mit 2 Dateien von zufälligen Computern und einer C: \ fracxidg.tsv-Datei (en).
und du wirst sie entschlüsseln lassen.
C: \ fracxidg.tsv enthält verschlüsselte Sitzungsschlüssel, die wir benötigen, um Ihre Dateien entschlüsseln zu können.

Der Software-Preis beinhaltet eine Garantie, dass Ihr Unternehmen von uns niemals belästigt wird.
Sie erhalten auch eine Beratung, wie Sie die Cybersicherheit Ihres Unternehmens verbessern können.
Wenn Sie unsere Software zur Wiederherstellung Ihrer Daten erwerben möchten, kontaktieren Sie uns unter:

shawhart1542925@mail.com
anderssperry6654818@mail.com

Wir können Ihnen nur die Tür zeigen. Du bist derjenige, der es durchlaufen muss.

Wird geladen...