Detectado un gran aumento de actividad del ransomware MegaCortex
- Actualidad
Los expertos de Sophos han alertado sobre el aumento de actividad de este malware desde el 1 de mayo. Se está usando en Estados Unidos, Canadá, Argentina, Italia, Países Bajos, Francia, Irlanda, Hong Kong, Indonesia y Australia, y combina automatización con componentes manuales, lo que aumenta su peligrosidad.
Este ransomware tiene similitudes con otros como Ryuk y BitPaymer, pero en este caso se emplean herramientas más automatizadas para llevar a cabo este ataque, lo que le convierte en único y, al combinar técnicas de hackeo automatizadas con manuales, es más peligroso. Su forma de ataque “está diseñada para propagar la infección a un mayor número de víctimas y hacerlo de forma más rápida”, dice Sophos.
Sus expertos explican que no hay todavía una cifra concreta que se pida a modo de rescate. Se sabe que los ciberatacantes solicitan a sus víctimas que les envíen un email a una dirección concreta, y a modo de respuesta devuelven un archivo que el ransomware permite desplegar en el disco duro para hacer efectivos sus “servicios” de descifrado. La nota de rescate también especifica que los ciberdelincuentes “garantizan que no volverán a molestar a su empresa”, y si las víctimas pagan el rescate, “también recibirán consultoría sobre cómo mejorar la ciberseguridad de su empresa”.
Para protegerse ante ciberataques como el de MegaCortex, la firma de seguridad ofrece las siguientes recomendaciones:
- Parece existir una fuerte correlación entre la presencia de MegaCortex, y la existencia previa y continua de infecciones en las redes de las victimas con Emotet y Qbot. Si los administradores de TI ven alertas de infecciones por Emotet o Qbot, deben considerarlas como prioridad alta. Estos dos bots pueden usarse para distribuir otros malwares, y es posible que haya sido de este modo como comenzaran infecciones como MegaCortex.
- Hasta ahora no se ha observado hasta ahora ningún indicio de que se hayan dado violaciones de Remote Desktop Protocol (RDP) para entrar a las redes, pero se sabe que los agujeros en los firewalls empresariales que permiten a los usuarios conectarse vía RDP siguen siendo relativamente comunes. Por eso, desaconseja encarecidamente esta práctica y sugerimos que cualquier administrador de TI que desee usarla ponga el equipo RDP tras una VPN.
- Como parece ser que los ciberdelincuentes violaron la contraseña de administrador, también recomienda la adopción generalizada de autenticación de doble factor siempre que sea posible.
- Mantener copias de seguridad periódicas de los datos actualizados más importantes en un dispositivo de almacenamiento sin conexión es la mejor manera de evitar tener que pagar un rescate.
- Utilizar protección anti-ransomware para poder bloquear MegaCortex y futuros malware de este tipo.
