Megacortex, el ransomware que cambia las contraseñas de Windows
Se ha descubierto una nueva versión del Ransomware MegaCortex que no solo cifra tus archivos, sino que ahora cambia la contraseña del usuario conectado y amenaza con publicar los archivos de la víctima si no pagan el rescate.
Para aquellos que no están familiarizados con MegaCortex, es un ransomware dirigido instalado a través del acceso a la red proporcionado por troyanos como Emotet.
Una vez que los creadores de MegaCortex obtienen acceso, envían el ransomware a las máquinas en la red a través de un controlador de directorio activo o kits de post-explotación.
Cambios significativos en la nueva versión de MegaCortex
En una nueva muestra del ransomware descubierto por MalwareHunterTeam, revisado por Vitali Kremez y analizado por BleepingComputer, vemos una nueva versión de MegaCortex que tiene cambios sustanciales respecto a las variantes anteriores.
El cambio más obvio visto por las víctimas es la nueva extensión .m3g4c0rtx utilizada por el ransomware como se muestra a continuación.
Además, MegaCortex ahora configura un aviso legal en la máquina cifrada para que muestre un mensaje de rescate básico: “Bloqueado por MegaCortex” – con contactos de correo electrónico antes de que un usuario inicie sesión.
Analizando, un poco ha cambiado
Cuando se ejecuta el iniciador MegaCortex principal, extraerá dos archivos DLL y tres scripts CMD a C:\Windows\Temp. Este ejecutable está firmado actualmente con un certificado Sectigo para una empresa australiana llamada “MURSA PTY LTD”.
Estos archivos CMD ejecutarán una variedad de comandos que eliminan las instantáneas de volumen, utilizan el comando Cipher para borrar todo el espacio libre en la unidad C:\, configuran el Aviso legal y luego limpian todos los archivos utilizados para cifrar la computadora.
Kremez le dijo a BleepingComputer en conversaciones que los dos archivos DLL se usan para cifrar los archivos en la computadora.
Un archivo DLL es un iterador de archivos que busca el archivo para cifrar y la otra DLL se usará para cifrar el archivo.
Estas DLL no se inyectan en ningún proceso, sino que se ejecutan a través de Rundll32.exe.
Cuando termine, las víctimas encontrarán una nota de rescate en el escritorio titulada !-!_README_!-!.rtf que contiene algunos comentarios interesantes que al principio descartamos como amenazas inactivas.
Después de un análisis más detallado, determinamos que al menos una de las amenazas es verdadera; De hecho, el ransomware cambia la contraseña de la víctima para su cuenta de Windows.
MegaCortex cambia la contraseña de Windows de la víctima
No es raro que los desarrolladores de ransomware hagan amenazas que no se llevan a cabo para asustar a las víctimas para que paguen.
Debido a esto, cuando vimos que la nota de rescate indicaba que las credenciales de la víctima habían sido cambiadas, la descartamos.
“Todas tus credenciales de usuario se han cambiado y tus archivos se han cifrado”.
Después de probar el ransomware y reiniciar la computadora cifrada, descubrí que no podía iniciar sesión en mi cuenta.
Un análisis más detallado del código por Kremez confirmó que MegaCortex está cambiando la contraseña de la cuenta de Windows de la víctima.
Lo hace ejecutando el comando net user cuando se ejecuta el ransomware.
Esto también explica por qué los atacantes agregaron un aviso legal que se muestra en la solicitud de inicio de sesión ya que el usuario ya no podrá iniciar sesión para acceder a su escritorio.
Amenaza con publicar los datos de la víctima
Además de las afirmaciones comprobadas de cambiar las credenciales de los usuarios, los atacantes también han cambiado la nota de rescate para indicar que los datos de la víctima se han copiado en una ubicación segura.
Luego amenazan con hacer públicos estos datos si una víctima no paga el rescate.
“También hemos descargado tus datos a una ubicación segura. En el desafortunado caso de que no lleguemos a un acuerdo, no tendremos más remedio que hacer públicos estos datos.
Una vez que finalice la transacción, todas las copias de los datos que hayamos descargado serán borrado.”
No se confirma si los atacantes han copiado los archivos de las víctimas, pero esta amenaza no debe descartarse y las víctimas pueden querer confirmar que los atacantes tienen sus archivos tal como se indica al comunicarse con ellos.
Sin embargo, si los ciberdelincuentes detrás de MegaCortex realmente están copiando datos, las víctimas ahora tendrán que tratar estos ataques como una violación de datos en el futuro en lugar de solo una infección de ransomware.
En última instancia, esto agregará una nueva capa de complejidad y riesgos a este tipo de ataques.
Resultados de análisis
Hashes:
ca0d1e770ca8b36f6945a707be7ff1588c3df2fd47031aa471792a1480b8dd53 [Launcher]
5ff14746232a1d17e44c7d095e2ec15ede4bd01f35ae72cc36c2596274327af9 [DLL]
e362d6217aff55572dc79158fae0ac729f52c1fc5356af4612890b9bd84fbcde [DLL]Archivos asociados:
!-!_README_!-!.rtfTexto de la nota de rescate:
Your company's network has been breached and infected with MegaCortex Malware.
All of your user credentials have been changed and your files have been encrypted.
We ensure that the only way to retrieve your data swiftly and securely is with our software.
Restoration of your data requires a private key which only we possess.
To confirm that our decryption software works email to us 2 files from random computers.
You will receive further instructions after you send us the test files.
After receiving payment we will provide you with the decryptor including its full source code and credentials to your computers.
We have also downloaded your data to a secure location. In the unfortunate event of us not coming to an agreement we will have no choice but to make this data public.
Once the transaction is finalized all of copies of data we have downloaded will be erased.
We will provide any assistance if needed.
Contact emails:
[email protected]
or
[email protected]
