skip to Main Content

Cybercrime, circola una nuova versione del ransomware MegaCortex

MalwareHunter Team scopre una nuova versione del ransomware MegaCortex, diffusa in questi giorni dal cybercrime. Il malware cifra i file e modifica la password di accesso al dispositivo. Inoltre, minaccia di pubblicare i documenti della vittima se non paga il riscatto

Il cybercrime sta diffondendo una nuova variante del ransomware MegaCortex. Lo hanno scoperto i ricercatori di cyber security del MalwareHunter Team. La versione precedente, invece, era stata identificata da Sophos a maggio. Quella in circolazione in questi giorni è più evoluta rispetto alla precedente. Infatti, non solo cifra i file ma modifica anche la password di accesso al dispositivo e minaccia di pubblicare i file della potenziale vittima se non procede con il pagamento del riscatto. Inoltre, per cifrare i file usa una nuova estensione: .m3g4c0rtx. Gli esperti del CERT della Pubblica Amministrazione (CERT-PA) avvisano che al momento non ci sono evidenze di attacchi in Italia, come avvenuto lo scorso maggio, ma non è escluso che ce ne possano essere in futuro. Tanto che l’organismo continua a monitorare la diffusione del malware.

Gli esperti di cyber security: Ecco come funziona il malware

MegaCortex, dopo aver ottenuto l’accesso alla rete, viene installato su tutte le macchine connesse tramite active directory o altri sistemi. Una volta che il ransomware penetra nei sistemi rilascia due file DLL e tre script (CMD), posizionandoli in C:\Windows\Temp per dare inizio al “processo” di compromissione. Questi eseguono varie azioni, come eliminare le copie shadow, liberare tutto lo spazio su disco e cifrare i file. Terminato il processo, l’utente troverà il file “! -! _ README _! -!. Rtf” sul desktop. Il documento informa dell’avvenuta cifratura dei file e richiede un pagamento per poter sbloccare i documenti. Peraltro, se la vittima prova a riavviare il sistema non sarà più in grado di accedere a esso. Ciò, in quanto il codice malevolo del cybercrime durante il processo di infezione può modificare la password di accesso del dispositivo.

Back To Top