A zsarolóvírus a Ryukhoz és BitPaymerhez hasonlóan manuális komponensekkel is rendelkezik, azonban a Megacortex mögött álló bűnözők automatizáltabb eszközökkel hajtják végre a támadásokat - ez egyedinek számít.
- A Sophos szerint a MegaCortex egy viszonylag keveset észlelt zsarolóvírus volt, azonban az észlelések száma május 1-jén hirtelen megugrott.
- A Sophos MegaCortex támadosákat figyelt meg az USÁ-ban, Kanadában, Argentínában, Olaszországban, Hollandiában, Franciaországban, Írországban, Hongkongban, Indonéziában és Ausztráliában.
- Úgy tűnik, hogy a zsarolóvírus eddig megkímélte a magyar vállalatokat. A virus mögött álló támadók szofisztikált módszerekkel választják ki a célországot és Magyarország nem szerepel ezek között.
Egészen eddig a Sophos látott már automatikus, manuális és hibrid jellegű támadásokat, amelyek tipikusan inkább a manuális hackelési technikák irányába húznak a laterális mozgáshoz; a MegaCortex esetében a Sophos nagyobb mértékben használt automatizációt figyelt meg, amelyet a manuális komponenssel kombináltak. Ezt az új formulát arra tervezték, hogy a fertőzést minél több áldozathoz minél gyorsabban jutassa el.
A "MegaCortec Ransomware Wants to be The One" című SophosLabs Uncut cikk szerint a zsarolóüzenetben nincs konkrétan meghatározva a váltságdíj összege. A támadók utasítják az áldozatokat, hogy küldjenek nekik emailt két ingyenes mail.com-os cím egyikére és az üzenethez csatolniuk kell egy, a zsarolóvírus által az áldozat gépére helyezett fájlt is, amellyel a titkosítás feloldásának “szolgáltatását” kérvényezik. A zsarolóüzenetben a digitális bűnözők azt is megígérik, hogy "garantálják, hogy a céget többé nem fogják zaklatni a jövőben", amennyiben az áldozat kifizeti a váltságdíjat, illetve, hogy konzultálni fognak vele, hogyan tudná a cége digitális biztonságát javítani.
A Sophos a következőket javasolja a védelem kapcsán:
- Úgy tűnik, hogy összefüggés van a MegaCortex jelenléte és az áldozat hálózatán már meglévő, aktív Emotet és Qbot fertőzések között. Ha az IT menedzserek Emotet és Qbot fertőzéseket észlelnek, elsődleges prioritású feladatként kell kezelniük az elhárításukat. Mindkét bot használható arra, hogy más malware-t terjesszenek velük, és elképzelhető, hogy a MegaCortex fertőzések is így kezdődtek.
- A Sophos eddig nem talált arra utaló nyomot, hogy a távoli asztal protokollt (Remote Desktop Protocol, RDP) használták fel a hálózatokba való betörésre, azt azonban tudjuk, hogy a vállalati tűzfalak illetéktelenek RDP csatlakozását lehetővé tevő sebezhető pontjai továbbra is gyakoriak. Nem támogatjuk ezt a gyakorlatot, ha viszont egy IT admin továbbra is alkalmazni akarja, azt javasoljuk, hogy helyezze az RDP gépet egy VPNA mögé.
- A támadás körülményei arra is utalnak, hogy egy adminisztratív jelszóval éltek vissza a digitális bűnözők. Javasoljuk a kétlépcsős hitelesítés széleskörű alkalmazását, amikor csak lehet.
- Készítsen a legfontosabb és aktuális adatairól készített rendszeres biztonsági mentést egy offline tároló eszközre! Ez a legjobb módszer, hogy elkerülje a váltságdíj kifizetését.
- Használjon anti-zsarolóvírus védelmi szoftvert, mint például Sophos Intercept X-et, hogy blokkolja a MegaCortexet és a jövőbeli zsarolóvírusokat.