MegaCortex kan ge giftig och svårbotad infektion – men också en lektion i cybersäkerhet

IT-säkerhetsföretaget Sophos varnar för att det sofistikerade gisslanprogrammet MegaCortex är på stark frammarsch.

Den drabbade möts av Lawrence Fishburnes karaktär Morpheus. MegaCortex namn uppfattas som en hyllning till den första Matrixfilmen. I filmen arbetar huvudkaraktären Neo på programvaruföretaget MetaCortex.

Den skadliga koden som främst drabbar företags nätverk har hittills varit relativt okänd och begränsad i spridning men den 1 maj ökade plötsligt antalet attacker. MegaCortex bygger på en unikt hög automatisering i kombination med manuell styrning, allt för att sprida infektionen till fler. Sophos har identifierat attacker i ett flertal länder, bland annat USA, Kanada, Italien och Nederländerna.

MegaCortex utmärker sig genom att den som utsätts för en attack inte omedelbart får ett meddelande som anger att ett visst belopp ska betalas. Däremot uppmanas den drabbade att mejla två krypterade filer till angivna e-postadresser.

För att bevisa MegaCortex kapacitet återfås filerna i dekrypterat format. Den drabbade får även en readme-fil som lägger sig på skrivbordet med instruktioner och krav på att ett belopp ska betalas i bitcoin. Cyberbrottslingarna lovar samtidigt att den som följer instruktionerna inte ska utsättas för fler attacker och erbjuder en konsultation om hur företagets cybersäkerhet kan förbättras.

– MegaCortex är ett tydligt exempel på hur cyberkriminella tagit kombinationen av automatiserade och manuella verktyg längre än någonsin. Det här angreppssättet gör att den skadliga koden har potential skapa en riktigt giftig och svårbotad infektion som sprider sig både snabbare och till fler. Det återstår att se hur angreppen utvecklar sig men MegaCortex har utan tvekan egenskaperna som gör det till ett hot att ta på största allvar, kommenterar Per Söderqvist, säkerhetsexpert på Sophos.

Koppling till tidigare attacker

Sophos ser ett starkt samband mellan MegaCortex och nätverk som är under attack av skadlig kod som Emotet och Qbot. Eftersom både Emotet och Qbot kan användas som verktyg för att sprida annan skadlig kod kan de ligga bakom att man även drabbas av MegaCortex. MegaCortex har också egenskaperna som gör att den skadliga koden kan ligga väl dold utan att upptäckas.

Minska risken för att drabbas

Företag som misstänker att de drabbats av Emotet och Qbot ska vara särskilt vaksamma och vidta åtgärder för att också hantera och oskadliggöra MegaCortex. Eftersom attackerna också visar att de cyberkriminella sannolikt kommit över lösenord för administratörer är rådet att så långt det går använda tvåfaktorautentisering. Hittills tyder ingenting på att MegaCortex använder Remote Desktop Protocol (RDP) som ingång men generellt sett är rådet att alltid lägga RDP-servrar bakom en VPN-lösning.

Att regelbundet ta backup på den viktigaste informationen och lagra den offline är också ett sätt att minska sårbarheten vid en attack. Rekommendationen är också att använda tjänster och lösningar som är särskilt anpassade för att skydda mot MegaCortex och andra gisslanprogram, exempelvis Sophos Intercept X.