Eine neue Version des Erpressungstrojaners nutzt gefälschte Code-Signing-Zertifikate, um in Unternehmensnetzwerke einzudringen. [...]
Eine neue Version der MegaCortex Ransomware ist im November 2019 aufgetaucht: Diese inzwischen vierte Version ist noch einmal aggressiver als ihre Vorgänger, warnen die IT-Sicherheitsexperten der PSW GROUP.
Bereits zum Ende der ersten Jahreshälfte 2019 verzeichnete die Melde- und Analysestelle Informationssicherung (MELANI) einen rapiden Anstieg einer damals neuen Bedrohung mit dem Namen „MegaCortex“. Die Ransomware, deren Gefahr zunächst als eher gering eingeschätzt wurde, verbreitete sich jedoch rasend schnell in Unternehmensnetzwerken und -systemen, um dort alle vorhandenen Daten zu verschlüsseln und für deren Entschlüsselung ein Lösegeld zu erpressen.
„Nachdem MegaCortex Zugriff auf fremde Systeme erhält, verbleibt der Angreifer zunächst im Stillen in dem Unternehmensnetzwerk, beobachtet vermutlich alle Vorgänge und sammelt interessante Daten. Erst wenn das System für die Erpresser attraktiv erscheint, beginnt ein Angriff. Die Kriminellen verschlüsseln alle hinterlegten Daten, ändern nun auch Passwörter und sperren die Nutzer somit komplett aus dem eigenen System aus. Mit dem Vertrieb der eigenen Entschlüsselungssoftware an die Opfer ist eine weitere Einnahmequelle gesichert“, erklärt Patrycja Tulinska, Geschäftsführerin der PSW GROUP, die Angriffsmethode.
Gefälschte Code Signing-Zertifikate
Um nicht in Sicherheitskontrollen aufzufallen, nutzt MegaCortex gefälschte Code Signing-Zertifikate: Jede Binärdatei von MegaCortex enthält also ein solches Signaturzertifikat, ohne das einige Windows-Geräte den Code gar nicht ausführen würden. Ein zudem kurioser Zusammenhang besteht mit anderen bekannten Attacken wie Emotet und Qbot: In den durch MegaCortex bedrohten Netzwerken wurden Sophos zufolge auch die beiden Bedrohungen Emotet und Qbot gefunden. Dies lässt die Vermutung entstehen, dass MegaCortex mithilfe dieser Malwareangriffe erst in die Systeme eingeschleust werden konnte und auch massiv für diese neue Bedrohung verantwortlich sind.
„MegaCortex ist gefährlich. Bislang ist nicht klar, was die Angreifer mit den gestohlenen Daten bezwecken. Diese lediglich zu verkaufen, scheint noch wie ein Best Case. Denn MegaCortex fällt durch seine rapide Entwicklung auf und scheint somit nur schwer eindämmbar. Mein Rat ist deshalb, Unternehmensnetzwerke vor dem eigentlichen Angriff zu schützen“, so Tulinska. Dazu gehört die regelmäßige, idealerweise sogar tägliche, Datensicherung – und zwar offline, beispielsweise auf einem externen Speichermedium. Durch die stetige Absicherungen kann ein Angriff durch MegaCortex deutlich weniger Schaden verursachen und im Fall der Fälle sind alle Daten wieder herstellbar. „Weiterhin sollten alle Firmengeräte stets die aktuellsten Versionen der Betriebssysteme und Programme sowie die aktuellste Version der PowerShell erhalten. So werden Sicherheitslücken vermieden“, empfiehlt Tulinska. Mithilfe einer regelmäßigen Überprüfung aller Remoteverbindungsprotokolle lässt sich zudem feststellen, ob Angreifer bereits auf das Firmennetzwerk zugreifen.
„Um gegen Angriffe wie MegaCortex gewappnet zu sein, sind zudem eine strikte Passwortrichtlinie und die Schulung aller Mitarbeiter über die Erstellung sicherer Passwörter genauso obligatorisch, wie die Verwendung einer Zwei-Faktor-Authentifizierung“, rät die IT-Sicherheitsexpertin und fährt fort: „Natürlich sollten neu erstellte Konten, Active Directory oder Admin-Gruppenänderung ebenfalls stetig überprüft, jegliche offenen Ports gesperrt und das Protokoll SMBv1 deaktiviert werden.“
Be the first to comment