MegaCortex est un malware qui était relativement peu connu, mais qui a soudainement pris de l’ampleur le 1er mai dernier. Sophos a en effet détecté des signes de présence de MegaCortex aux États-Unis, au Canada, en Argentine, en Italie, aux Pays-Bas, en France, en Irlande, à Hong Kong, en Indonésie et en Australie. Le ransomware possède des composants manuels similaires à ceux de Ryuk et BitPaymer, mais les cybercriminels se cachant derrière MegaCortex utilisent des outils plus automatisés pour lancer l’attaque, et cette manière de procéder est plutôt unique. Jusqu’à présent, Sophos a connu des attaques automatisées, des attaques manuelles et des attaques hybrides, qui généralement privilégient davantage les techniques de piratage manuel pour se déplacer latéralement. Avec MegaCortex, Sophos constate une utilisation accrue de l’automatisation couplée à des composants manuels. Cette nouvelle formule est conçue pour propager l’infection plus rapidement et toucher davantage de victimes.

Comme indiqué dans l’article de SophosLabs Uncut, Le ransomware « MegaCortex » veut être l’Elu de la Matrice (The One), il n’existe pas une véritable somme d’argent exigée dans la demande de rançon. Les attaquants invitent les victimes à leur envoyer un email sur l’une des deux adresses gratuites de type mail.com et ils envoient en retour un fichier que le ransomware installera sur le disque dur de la victime pour proposer ses « services » de déchiffrement. La demande de rançon promet également que les cybercriminels « offriront la garantie que votre entreprise en question ne sera plus ciblée par ce ransomware » si les victimes paient la rançon, et poursuit en déclarant que, « vous recevrez également des conseils sur la manière d’améliorer la cybersécurité au sein de votre entreprise ».

Sophos vous conseille de mettre en place la protection suivante :

• Il semble qu’il existe une forte corrélation entre la présence de MegaCortex et une infection préexistante, en cours, sur les réseaux ciblés à la fois par Emotet et Qbot. Si les responsables informatiques reçoivent des alertes concernant des infections Emotet ou Qbot, celles-ci doivent être considérées comme une priorité absolue. Ces deux bots peuvent être utilisés pour propager d’autres malwares, et il est donc possible que les infections en provenance de MegaCortex aient commencé de cette manière.

• Jusqu’à présent, Sophos n’a pas de preuve formelle que le protocole RDP (Remote Desktop Protocol) ait été utilisé de manière abusive pour pénétrer au sein des réseaux, mais nous savons que les failles dans les pare-feu d’entreprise, permettant à des individus de se connecter au RDP, restent relativement fréquentes. Nous déconseillons vivement cette pratique et nous suggérons à tout administrateur informatique, qui néanmoins le souhaite, de protéger la machine RDP avec un VPN.

• Comme l’attaque semble indiquer qu’un mot de passe administratif a été utilisé de manière abusive par les cybercriminels, nous recommandons également l’adoption généralisée de l’authentification à deux facteurs dans la mesure du possible.

• Faire des sauvegardes régulières de vos données, les plus importantes et récentes, sur un périphérique de stockage hors ligne est le meilleur moyen d’éviter d’avoir à payer une rançon.

• Utilisez une protection anti-ransomware, telle que Sophos Intercept X, pour bloquer MegaCortex ainsi que de futurs ransomwares.

« Nous pensons qu’il s’agit là de votre script kiddie/living-off-the-land, et qu’il constitue un bon exemple de ce que nous avons récemment qualifié de test de pénétration cybercriminelle. Les attaquants MegaCortex ont opté pour une approche malveillante hybride et ont boosté son potentiel, en augmentant le composant automatisé pour cibler davantage de victimes. Une fois qu’ils ont récupéré vos identifiants administrateur, il n’y a plus moyen de les arrêter. Lancer l’attaque à partir de votre propre contrôleur de domaine est un excellent moyen pour les attaquants d’hériter de toute l’autorité dont ils ont besoin pour impacter l’ensemble des activités de votre entreprise. Les entreprises doivent faire attention aux contrôles de sécurité basiques et effectuer des évaluations de cybersécurité, et ce avant que des cybercriminels ne le fassent à leur place, afin d’empêcher que ce type d’attaquant ne passe inaperçu », John Shier, senior security advisor chez Sophos.