Ransomware não apenas criptografa arquivos, mas agora também altera a senha do usuário e ameaça publicar os dados da vítima se ela não pagar o resgate
Foi descoberta uma nova versão do ransomware MegaCortex que não apenas criptografa arquivos, mas agora também altera a senha do usuário e ameaça publicar os dados da vítima se ela não pagar o resgate. Para aqueles que não estão familiarizados com o MegaCortex, trata-se um ransomware direcionado, instalado através do acesso à rede por meio de trojans (cavalos de Troia) como o Emotet. Depois que obtêm acesso, os hackers enviam o ransomware para as máquinas da rede por meio de um controlador de diretório ativo ou kits de pós-exploração.
Descoberta por pesquisadores do MalwareHunterTeam e por meio de engenharia reversa por Vitali Kremez, e posteriormente analisado pelo BleepingComputer, a nova versão do MegaCortex apresenta alterações substanciais em relação às variantes anteriores. A mudança mais evidente é a nova extensão .m3g4c0rtx usada pelo ransomware, como mostrado abaixo.
Além disso, o MegaCortex agora configura um aviso legal na máquina criptografada para exibir uma mensagem básica de resgate “Bloqueado pelo MegaCortex” com contatos de e-mail antes que o usuário faça login.
Nos bastidores, o MegaCortex mudou um pouco. Quando o iniciador principal do MegaCortex é executado, ele extrai dois arquivos DLL e três scripts CMD para C:\Windows\Temp. Atualmente, este iniciador tem um certificado Sectigo concedido por uma empresa da Austrália chamada Mursa PTY LTD.
Esses arquivos CMD executarão uma variedade de comandos que removerão cópias de volume de sombra, usarão o comando Cipher para limpar todo o espaço livre na unidade C:\, definir o Aviso Legal e limpar todos os arquivos usados para criptografar o computador.
Kremez disse ao BleepingComputer que os dois arquivos DLL são usados para criptografar os arquivos no computador. Um arquivo DLL é um protocolo iterador de arquivos que procura o arquivo para criptografar, e a outra DLL será usada para criptografar o arquivo. Essas DLLs não são injetadas em nenhum processo, mas são executadas via Rundll32.exe. Quando terminar, as vítimas encontrarão uma nota de resgate na área de trabalho intitulada! -! _ README _! – !. rtf que contém alguns comentários interessantes.
Após uma análise mais aprofundada, o BleepingComputer constatou que pelo menos uma das ameaças é verdadeira: o ransomware realmente altera a senha da vítima para a conta do Windows.
Não é incomum que os desenvolvedores de ransomware façam ameaças que não são executadas para assustar as vítimas. Mas o novo MegaCortex estampa na tela: “Todas as suas credenciais de usuário foram alteradas e seus arquivos foram criptografados.” Depois de testar o ransomware e reiniciar o computador criptografado, o BleepingComputer verificou que não conseguia fazer login da conta.
Uma análise mais aprofundada do código por Kremez confirmou que o MegaCortex está realmente alterando a senha da conta do Windows da vítima. Isso é feito executando o comando net user quando o ransomware é executado.
Isso também explica por que os invasores adicionaram um aviso legal que é mostrado no prompt de login, pois o usuário não poderá mais fazer login para acessar sua área de trabalho.
Além das reivindicações comprovadas de alteração das credenciais do usuário, os atacantes também alteraram a nota de resgate para indicar que os dados da vítima foram copiados para um local seguro.
Eles ameaçam tornar esses dados públicos se a vítima não pagar o resgate: “Também baixamos seus dados para um local seguro. No infeliz evento de não chegarmos a um acordo, não teremos escolha a não ser tornar esses dados públicos. Uma vez finalizada a transação, todas as cópias dos dados que baixamos serão apagadas.”
Não está confirmado se os atacantes realmente copiaram os arquivos das vítimas, mas essa ameaça não deve ser descartada e as vítimas podem querer confirmar que os atacantes realmente têm seus arquivos conforme indicado quando se comunicam com eles. Se os atores do MegaCortex estiverem realmente copiando dados, as vítimas agora terão que tratar esses ataques como uma violação de dados daqui para frente, em vez de apenas uma infecção por ransomware.
