Банковский шифровальщик требует выкуп, но готов обучить жертву азам безопасности

Всю сеть разом Новый шифровальщик MegaCortex атакует корпоративныесети и рабочие станции в них, распространяясь через контроллеры доменов Windows. Заражение, по даннымкомпании Sophos,носит иезуитский сложный характер, и экспертам до сих пор не удалось выяснить,каким образом происходит первичное проникновение вредоноса в сеть. Собранная статистиказаражений указывает, что MegaCortex чаще всего проявляется в сетях, где уже находятсябанковские троянцы Qbot и Emotet,который сам по себе в последние годы эволюционировал в платформу доставки другихвредоносных программ и обзавелся функциями «червя». Жертвы зараженийуказывают, что атака начинается из скомпрометированного доменного контроллера:злоумышленники, используя украденные административные реквизиты, запускаютнекий скрипт PowerShell, защищенный тройной обфускацией (запутыванием кода). Устранив ее, экспертыобнаружили серию команд, которые «декодируют сгусток данных, зашифрованныхалгоритмом base64».Этот сгусток при ближайшем распространении оказался «скриптом CobaltStrike, который открываетобратный шелл Meterpreter для входа в сеть жертв». Далее по машинам,располагающимся в Сети, распространяется копия утилиты PsExec, предназначенной для удаленного запуска процессовна других машинах, batch-файл, осуществляющий закрытие процессов и служб Windows, и основной файл шифровальщика winnit.exe. Хитрый банковский троянец Emotet заряжает корпоративные сети шифровальщиком Batch-файл, выявленный Sophos, нейтрализует 44 различных процессов и 199 служб Windows, которые могут помешать запуску шифровальщика.Среди прочего останавливаются процессы браузеров, почтовых клиентов, офисныхпрограмм и, разумеется, антивирусов. Основной файлшифровальщика скачивает и запускает DLL-файл с названием, состоящим из случайных букв, изапускает процесс шифрования. Имеются также свидетельства,что параллельно злоумышленники используют другие batch-файлы с названиями от 1.bat до 6.bat, которые применяются для дальнейшегораспространения и запуска вредоносных компонентов по локальной сети. После шифрования ко всематакованным файлам добавляется расширение, идентичное названию DLL-шифровальщика, а такжефайл с тем же наименованием и расширением TSV, а также текстовое послание с требованием выкупаи, что характерно, обещанием дать рекомендации по улучшению кибербезопасностикомпании. В этом посланииуказывается, что TSV-файлы содержат «шифрованные ключи сессии», необходимые злоумышленникам длявосстановления доступа к файлам. Берегитесь спама В бюллетене Sophos указывается, что MegaCortex нераспространяется со спамом, но, вероятнее всего, привносится в локальную сетьтроянцами, основной инструмент распространения которых — как раз-таки спам.Эксперт Sophosрекомендуют специально обучать работников компаний определять, что являетсяспамом, а что нет, и не полагаться только на технические защитные меры. «Вредонос пытаетсяотключать антивирусные средства прежде чем начинает шифровать файлы,соответственно, очень важно не допустить начала процесса шифрования, а значит —предотвратить попадание в сеть троянцев Qbot и Emotet, — считает АлександрХамитов, эксперт по информационной безопасности компании SECConsultServices. — Однакоединственный гарантированный способ застраховаться от шифровальщика — этообеспечить эффективное “холодное” резервное копирование всех данных». Эксперт также отметил,что не стоит забывать и про более традиционные меры защиты локальных сетей. Вчастности, злоумышленники не должны иметь возможности легко и просто получатьадминистративный доступ к контроллерам домена. Короткая ссылка на материал: [url]#[/url] Ссылка на источник