MegaCortex: Ransomware mit Potenzial
Bereits zum Ende der ersten Jahreshälfte 2019 hatte die Melde- und Analysestelle Informationssicherung (Melanie) einen rapiden Anstieg von Ransomware mit Lösegeldforderungen feststellen können. Seit Mai 2019 machte sich vor allem eine Bedrohung mit dem Namen „MegaCortex“ bemerkbar, eine Ransomware, dessen Gefahr zunächst als eher geringfügig eingeschätzt wurde. Allerdings steigt die Anzahl der Fälle dieser Bedrohung durch Einschleusen in Unternehmensnetzwerke und -systeme rapide an. Erst einmal im System werden alle dort vorhandenen Daten verschlüsselt und die Besitzer der Daten um Lösegeld erpresst.
Zügige Verbreitung der Schadsoftware, wie bspw. „MegaCortex“
Ist MegaCortex einmal im System angelangt und hat alle dort gespeicherten Dateien für den Besitzer verschlüsselt, so hat dieser keinen Zugriff mehr. Nun nutzen die Angreifer die Verzweiflung Ihrer Opfer aus und versuchen über den entstandenen Druck und Ausfallzeiten weiteren Schaden anzurichten. Die Nutzer erhalten die Anweisung, ihre gesamten Daten wieder „zurückzukaufen“. Dies geschieht durch den Erwerb einer Entschlüsselungssoftware direkt von den Cyberkriminellen. Die Anweisungen von den Cyberkriminellen enthalten auch einen Hinweis, dass das Opfer mit Kauf der Entschlüsselungssoftware eine Garantie erhält, nicht erneut angegriffen zu werden. Wie vertrauenswürdig eine solche Information ist, sei dahingestellt.
MegaCortex-Entwickler sind Matrix-Fans
Aufgrund des selbst gewählten Namens „MegaCortex“ der Cyberkriminellen für Ihre Ransomware geht man davon aus, dass die Erschaffer der Attacke Fans von den Matrix-Filmen sind. Hat doch die Hauptfigur des Films in dem ersten Teil in einem Unternehmen namens „MetaCortex“ gearbeitet. Weitere Parallelen finden sich noch im Verlaufe des Angriffs, wie zum Beispiel bei der Formulierung des Lösegeldscheins. Ein zudem kurioser Zusammenhang besteht mit anderen bekannten Attacken wie Emotet und Qbot. Über die Bedrohung durch Emotet haben wir bereits in der Vergangenheit berichtet. In den durch MegaCortex bedrohten Netzwerken fand man Sophos zufolge auch die beiden Bedrohungen Emotet und Qbot. Dies lässt die Vermutung entstehen, dass MegaCortex mithilfe dieser Malwareangriffe erst in die Systeme eingeschleust werden konnte und auch massiv für diese neue Bedrohung verantwortlich sind.
Warnungen durch die Polizei in Zürich
Mittlerweile sind auch Behörden auf die Bedrohung und Auswirkungen von MegaCortex aufmerksam geworden. Die Züricher Kantonspolizei hat bereits im Juli 2019 Stellung zu den Ransomware-Angriffen genommen. Man sei besonders wegen der steigenden Anzahl der Angriffe auf Unternehmen besorgt. Weiterhin vermute man großen Schaden bei Attacken auf KMU und Großunternehmen – besonders finanzieller Natur. Die Züricher Polizei formuliert seine Warnung ganz deutlich: Sie sollten keine verdächtigen Mails und besonders enthaltene Links oder Anhänge öffnen. Zum Schluss gibt die Kantonspolizei noch die Anweisung, sich dringend über die Angriffe zu informieren, um diesen nicht erst Tür und Tor zu öffnen.
MegaCortex entwickelt sich weiter
Mit einer neuen Version der MegaCortex Ransomware hatte zunächst niemand gerechnet und doch ist diese im November 2019 aufgetaucht. Die Gefahren der noch aggressiveren Version hat neben einigen Online-Portalen auch das FBI erkannt und eine Warnung ausgesprochen. Der Angriff der neueren Versionen läuft wie folgt ab:
Nachdem MegaCortex Zugriff auf fremde Systeme erhält, verbleibt der Angreifer zunächst im Stillen in dem Unternehmensnetzwerk, beobachtet vermutlich alle Vorgänge und sammelt interessante Daten. Erst wenn das System für die Erpresser attraktiv erscheint, beginnt ein Angriff. Die Kriminellen verschlüsseln alle hinterlegten Daten, ändern nun auch Passwörter und sperren die Nutzer somit komplett aus dem eigenen System aus. Mit dem Vertrieb der eigenen Entschlüsselungssoftware an die Opfer ist eine weitere Einnahmequelle gesichert.
Was steckt hinter MegaCortex?
MegaCortex fällt besonders durch seine rapide Entwicklung auf. So wurden der Ransomware doch innerhalb eines Jahres vier verschiedene Versionierungen verpasst. Um nicht in Sicherheitskontrollen aufzufallen, nutzt MegaCortex gefälschte Code Signing-Zertifikate. Eine jede Binärdatei von MegaCortex enthält also ein solches Signaturzertifikat, ohne das einige Windows-Geräte den Code gar nicht ausführen würden.
So schützen Sie Ihr Unternehmen:
MegaCortex ist gefährlich – bislang ist nicht klar, was die Angreifer mit den geklauten Daten bezwecken möchten. Diese lediglich zu verkaufen, scheint noch wie ein „Best Case“. MegaCortex entwickelt sich stetig weiter und scheint somit schwer einzudämmen. Bestenfalls schützen Sie sich also selbst vor dem Angriff, um finanziellen Schaden und Gefahren durch die Cyberkriminellen zu vermeiden. Das FBI hat einige Maßnahmen veröffentlicht, die Sie vornehmen können, um sich bestmöglich vor MegaCortex zu schützen. Diese möchten wir Ihnen nicht vorenthalten.
Schutzmaßnahmen, um der Bedrohung entgegenzuwirken
Die bedeutendste Empfehlung des FBI beinhaltet die Datensicherung. Sichern Sie alle Ihre Daten in regelmäßigen Abständen offline. Durch diese stetigen Absicherungen kann ein Angriff durch MegaCortex deutlich weniger Schaden verursachen, sie haben schließlich die Möglichkeit, Ihre gesamten Daten selbst wiederherzustellen. Weiterhin empfiehlt es sich jegliche Firmengeräte stets zu aktualisieren. Nutzen Sie immer die aktuellsten Versionen der Betriebssysteme und Programme sowie die aktuellste Version der PowerShell. So vermeiden Sie Sicherheitslücken.
Mithilfe einer regelmäßigen Überprüfung aller Remoteverbindungsprotokolle stellen Sie fest, ob Angreifer auf Ihr Netzwerk zugreifen. Sollte ein Angreifer Zugriff haben, erkennen Sie dies frühzeitig.
Nutzen Sie eine strikte Passwortrichtlinie und schulen Sie alle Mitarbeiter über die Erstellung sicherer Passwörter. Verwenden Sie außerdem eine Zwei-Faktor-Authentifizierung. Natürlich sollten neu erstellte Konten, Active Directory oder Admin-Gruppenänderung ebenfalls stetig überprüft werden.
Jegliche offenen Ports sollten gesperrt und das Protokoll SMBv1 deaktiviert werden.
Beachten Sie diese Richtlinien, sind Sie gegen Angriffe wie MegaCortex gewappnet. Was Ihnen ebenfalls weiterhilft, ist fundiertes Wissen über die Angriffe. Informieren Sie sich also regelmäßig über Neuigkeiten der Angriffe, da sich diese rapide weiterentwickeln.
Schreibe einen Kommentar