Scoperto a maggio dai ricercatori di sicurezza Sophos, nei giorni scorsi, una nuova variante più complessa è stata individuata dai ricercatori di MalwareHunter Team.
Rispetto alla variante scoperta a maggio e veicolata anche in Italia, MegaCortex non solo cifra i file ma modifica anche la password di accesso al dispositivo e minaccia di pubblicare i file della potenziale vittima se non procede con il pagamento del riscatto.
Un altro elemento di diversificazione rispetto alla precedente versione è la nuova estensione usata per cifrare i file, la nuova variante infatti utilizza l’estensione .m3g4c0rtx.
Come funziona MegaCortex?
Dopo aver ottenuto l’accesso alla rete, il ransomware viene installato su tutte le macchine connesse tramite active directory o altri sistemi. Una volta che il ransomware penetra nei sistemi rilascia due file DLL e tre script (cmd) posizionandoli in C:\Windows\Temp per dare inizio al “processo” di compromissione.
I file CMD eseguono varie azioni, come eliminare le copie shadow, liberare tutto lo spazio su disco e cifrare i file.
Terminato il processo, l’utente troverà il file “! -! _ README _! -!. Rtf” sul desktop. Il documento informa dell’avvenuta cifratura dei file oltre a richiedere un pagamento per poter liberare i documenti cifrati.
Inoltre, se l’utente prova a riavviare il sistema non sarà più in grado di accedere poichè MegaCortex durante il processo di infezione è in grado di modificare la password di accesso del dispositivo.
Al momento non ci sono evidenze di attacchi in Italia, come avvenuto lo scorso maggio. Il Cert-Pa continua a monitorare la diffusione, eventuali altre evidenze saranno comunicate.
FONTE; CERT-PA, https://www.cert-pa.it/notizie/rilevata-nuova-variante-del-ransomware-megacortex/
