È facile dimenticare che gli autori di malware sono normali esseri umani con hobby e interessi – non così diversi dalle loro molte vittime, in effetti.
Ecco spiegata la tendenza ad incorporare i riferimenti alla cultura popolare nei malware – come ha fatto il creatore di un nuovo tipo di ransomware chiamato MegaCortex.
Gli appassionati di cinema ricorderanno che MegaCortex è la società di software senza volto che impiega Neo, l’eroe-hacker che inghiotte la pillola rossa in The Matrix, a sua volta un velato riferimento filosofico-pop alle nozioni di scelta e di libero arbitrio.
Nel caso di MegaCortex, gli attacchi del quale i SophosLabs hanno notato un aumento significativo nell’ultima settimana, l’idea della scelta sotto pressione è azzeccata. Chiunque sia stato infettato deve confrontarsi con una richiesta di riscatto scritta nello stile che ricorda il personaggio di Matrix Morpheus:
I sistemi di difesa informatica delle vostre aziende (sic) sono stati valutati, misurati e sono stati trovati carenti. La violazione è il risultato della grave negligenza dei protocolli di sicurezza.
e:
Io posso condurti fino alla soglia, ma la porta devi varcarla da solo.
La pretenziosità dell’atteggiamento è, naturalmente, parte di un gioco psicologico in cui gli aggressori tentano di proiettare l’idea che loro, non la vittima, hanno il controllo.
Un momento prima, la rete dei difensori sembrava sicura. Il successivo, dal nulla, si apre la richiesta di riscatto. Per qualsiasi organizzazione che non preveda questo tipo di attacco, è facile essere messi in svantaggio da una tattica di sorpresa.
La strategia è quella di mantenere i difensori in questo stato il più a lungo possibile usando la distrazione, idealmente fino a quando non pagano. Se questo significa bombardarli con riferimenti cinematografici gratuiti, così sia.
Una desertica realtà
Elimina la finzione e la vanità e MegaCortex diventa semplicemente un esempio del modus operandi del ransomware, che, dopo il suo boom iniziale alcuni anni fa, è diventato sempre più spesso altamente mirato.
Ad esempio, almeno uno degli attacchi rilevati da SophosLabs negli ultimi giorni ha utilizzato le credenziali rubate da un controller di dominio, il che implica che gli autori dell’attacco erano “hands on”.
Questo sottolinea inoltre che hanno speso tempo a cercare quelle credenziali che rappresentavano il punto zero per l’intero attacco.
I SophosLabs ipotizzano che esista una correlazione tra MegaCortex ed Emotet e il malware Qbot sulla stessa rete, che potrebbe agire come sistema di consegna.
Questo deve ancora essere confermato, ma se corretto sarebbe solo l’ultimo esempio di come il ransomware aggressivo possa apparire spontaneamente sulle spalle di piattaforme di distribuzione più grandi.
MegaCortex è un buon esempio di ransomware industriale che continua ad essere attivo anche se l’attenzione è passata a cose che sembrano cose più grandi e più cattive.
Negli ultimi mesi, abbiamo trattato di un certo numero di gravi attacchi, compresi quello ai giornali negli USA che hanno dovuto ritardare la loro pubblicazione e, più recentemente, quello di GrandCrab.
Evitare di finire nella lista delle vittime richiede un po’ di lavoro, una checklist che potete leggere nei nostri articoli sul prolifico SamSam.
Non c’è una semplice morale da trarre, ma molte piccole cose che possono fare la differenza. Prestare molta attenzione alla sicurezza degli account con privilegi è un buon punto di partenza.
Come ha osservato il Morfeo di Matrix:
Credimi quando dico che abbiamo un momento difficile davanti a noi. Ma se dobbiamo essere preparati a questo, dobbiamo prima liberarci della paura.
La protezione Sophos
Sophos Antivirus rileva questi campioni come Bat / Agent-BBIY, Troj / Agent-BBIZ, Troj / Agent-BAWS e Troj / Ransom-FJQ. Sophos Intercept X protegge contro MegaCortex ransomware.