MegaCortex est un nouveau ransomware qui cible particulièrement les postes de travail des entreprises en utilisant les contrôleurs de domaine Windows pour s’auto-distribuer.

Ces derniers temps, les ransomwares font un retour en force à la Une de l’actualité. Après les déboires rencontrés par le leader mondial de l’aluminium Norsk Hydro, par Citycomp (un prestataire de services d’Airbus et Volkswagen), par Fleury Michon ou encore par Altran, Sophos met en garde contre l’arrivée de MegaCortex, un nouveau ransomware qui se répand en Amérique du Nord mais aussi en Italie, en France et au Pays Bas.

Le fonctionnement et les mécanismes de chiffrement de MegaCortex sont encore assez mal connus. Mais le ransomware semble être associé à des bots bien connus (Emotet, QBot, …) pour diffuser son script PowerShell d’infection des contrôleurs de domaines qui se chargeront ensuite de déployer l’attaque sur les postes Windows. Bien que comportant de nombreuses automatisations, l’attaque semble également comporter une partie manuelle utilisée pour dérober des identifiants ayant des droits « administrateurs ». Le ransomware en lui-même s’appuie sur un exécutable signé pour mieux échapper aux antivirus et autres barrières anti-malwares.

L’attaque MegaCortex cible précisément les entreprises. Elle doit inviter les administrateurs IT à renforcer leur vigilance, à contrôler que leurs procédures de sauvegarde sont bien opérationnelles et que leurs postes comme leurs serveurs Windows disposent bien des derniers patchs de sécurité.

Source : Sophos – “MegaCortex” ransomware wants to be The One