Ransomware MegaCortex voert binnen een week 47 aanvallen uit

Een ransomware genaamd MegaCortex heeft afgelopen week 47 aanvallen uitgevoerd. Dat is tweederde van alle 76 aanvallen die sinds de ontdekking van de ransomware afgelopen januari zijn gedetecteerd. 

Volgens Sophos gebruikt MegaCortex een tactiek die bekend staat als big-game hunting. De ransomware lijkt ontworpen om grote bedrijfsnetwerken aan te vallen en is onderdeel van zorgvuldig geplande, gerichte intrusies, aldus de cybersecurityspecialist. Dit in plaats van spam of andere massaal opgezette technieken te gebruiken. ZDNet merkt op dat het lijstje van dergelijke gerichte aanvallen steeds groter wordt, met onder meer ook namen als Ryuk, Bitpaymer, Dharma, SamSam, LockerGoga en Matrix.

De gedetecteerde aanvallen zouden afkomstig zijn van bedrijfsnetwerken in de Verenigde Staten, Canada, Nederland, Ierland, Italië en Frankrijk. Sophos laat weten de aanvallen inmiddels geblokkeerd te hebben, maar sluit niet uit dat er ook vanuit andere plaatsen aanvallen optreden. Het gaat dan om locaties waar de Britse antivirusleverancier geen dekking heeft.

Rietspoof

Verschillende cyberbeveiligingsonderzoekers vermoeden dat de ransomware is neergezet op aangevallen netwerken via een malware loader, genaamd Rietspoof. Dat is een nieuwe aanpak in vergelijking met eerdere, bekende gerichte ransomware-aanvallen. Die maken doorgaans gebruik van brute-forcing op slecht beveiligde endpoints of dringen binnen op een systeem via de Emotet- of Trickbot-trojan, om vervolgens de ransomware te installeren.

De nieuwe bezorgmethode maakt MegaCortex er niet minder gevaarlijk op. Hackers kunnen de aanval snel escalern om toegang te krijgen tot een domeincontroller, vanwaar ze proberen om de ransomware op zoveel mogelijk workstations los te laten.

Het is volgens Sophos dan ook aan te raden om tweestapsauthenticatie toe te passen voor interne netwerken. Zeker ook bij centrale beheerservers. Slachtoffers kunnen MegaCortex herkennen aan de willekeurige extensie van acht tekens, die aan versleutelde bestanden wordt toegevoegd.

Gerelateerd: Kwetsbare cloudservers al binnen de minuut slachtoffer van aanvallen