检测到MegaCortex勒索软件攻击的激增

英国网络安全公司Sophos报告称，上周末发现了一种名为MegaCortex的新菌株，导致勒索软件攻击激增。Sophos表示，勒索软件似乎是针对大型企业网络而设计的，这是精心策划的目标入侵的一部分 - 这种策略被称为“大型游戏狩猎”。作案手法并不新鲜，一直是提供勒索软件近半年的首选方法。MegaCortex现在加入了一个不断增长的勒索软件类型列表，网络犯罪组织仅在目标攻击中使用，而不是使用垃圾邮件或其他大规模部署技术。该列表包括一些可识别的名称，如Ryuk，Bitpaymer，Dharma，SamSam，LockerGoga和Matrix。

本月袭击事件突然升级

根据Sophos上周五晚发布的一份报告，MegaCortex于1月下旬首次被发现，当时有人上传了恶意软件扫描服务VirusTotal的样本。

从那时起，攻击次数一直在增加，但是上周中期，当Sophos说它发现了47次攻击时，它们飙升 - 占该公司全年所见的76次MegaCortex攻击的三分之二。

Sophos表示，它阻止了它检测到的攻击，这些攻击来自位于美国，加拿大，荷兰，爱尔兰，意大利和法国的企业网络。但是，其他攻击可能发生在英国反病毒软件供应商没有覆盖的其他地方。

RIETSPOOF感染载体?

虽然Sophos无法确切地指出MegaCortex是如何在受感染的主机上获得的，但是一些网络安全研究人员在周末发推文称勒索软件似乎是通过一个名为Rietspoof的恶意软件加载程序在被攻击的网络上丢弃的。

与过去依赖的“目标勒索软件攻击”相比，这是一种新方法：

- 黑客组织暴力破解弱安全的RDP端点;

- 将勒索软件作为第二阶段有效载荷丢弃在先前感染了Emotet或Trickbot特洛伊木马的工作站上。

但是尽管采用了传送方式，MegaCortex似乎和其他“大型游戏”勒索软件一样危险，黑客很快就会升级他们对域控制器的访问，他们试图将勒索软件部署到尽可能多的内部工作站。可能。

由于这似乎是大多数被用于针对性攻击的勒索软件家族的常见做法，Sophos研究人员建议公司对内部网络采用双因素身份验证，尤其是中央管理服务器。

受害者可以通过添加到加密文件中的随机八字符扩展来识别勒索软件，还可以通过下面嵌入的赎金记录来识别勒索软件。