حمله باج افزار MegaCortex به شبکه‌های سازمانی

به گزارش خبرگزاری صدا و سیما به نقل از روابط عمومی مرکز مدیریت راهبردی افتای ریاست جمهوری به نقل از پایگاه اینترنتی BleepingComputer، در شبکه‌هایی که با باج‌افزار MegaCortex آلوده شده‌اند تروجان‌های Emotet یا Qakbot مشاهده شده است.
روند آلوده سازی شبکه‌های سازمانی نشان می‌دهد مهاجمین از تروجان‌ها برای دسترسی به سیستم‌های آلوده بهره می‌برند؛ روشی که در روند حملات باج‌افزار Ryuk مشاهده شده بود.
قربانیان اعلام کرده‌اند که حملات از "کنترل‌کننده دامنه دستکاری شده " آغاز و بر روی کنترل‌کننده دامنه، Cobalt Strike منتقل و اجرا شده است تا یک shell معکوس به سمت هاست مهاجم ایجاد شود.
مهاجم با استفاده از این shell دسترسی راه دور به کنترل‌کننده دامنه بدست می‌آورد و آن را برای توزیع یک کپی از PsExec و یک فایل batch به رایانه‌های شبکه پیکربندی می‌کند. PsExec فایل اجرایی اصلی بدافزار است. در ادامه مهاجم از طریق فایل PsExec فایل batch را بصورت کنترل از راه دور اجرا می‌کند.
فایل batch تعداد ۴۴ فرایند پردازشی مختلف، ۱۹۹ سرویس ویندوز و ۱۹۴ سرویس دیگر را متوقف می‌کند. پس از متوقف شدن سرویس‌هایی که مانع اجرای بدافزار یا مانع رمزگذاری روی فایل‌ها می‌شوند، فایلی با نام winnit.exe اجرا می‌شود. این فایل یک فایل DLL تصادفی را استخراج و آن را توسط rundll۳۲.exe اجرا می‌کند. فایل DLL مولفه اصلی باج‌افزار است که رایانه قربانی را رمزگذاری می‌کند پس از رمزگذاری، پسوند aes۱۲۸ctr به فایل‌ها اضافه می‌شود، مانند تمام باج‌افزارها، یک فایل txt با محتوای نحوه پرداخت باج نیز ایجاد می‌شود.