{"id":7366,"date":"2020-02-04T15:22:30","date_gmt":"2020-02-04T14:22:30","guid":{"rendered":"https:\/\/www.psw-group.de\/blog\/?p=7366"},"modified":"2026-02-16T09:29:05","modified_gmt":"2026-02-16T08:29:05","slug":"megacortex-ransomware","status":"publish","type":"post","link":"https:\/\/www.psw-group.de\/blog\/megacortex-ransomware\/","title":{"rendered":"MegaCortex: Ransomware mit Potenzial"},"content":{"rendered":"

Bereits zum Ende der ersten Jahresh\u00e4lfte 2019 hatte die Melde- und Analysestelle Informationssicherung (Melanie) einen rapiden Anstieg von Ransomware mit L\u00f6segeldforderungen feststellen k\u00f6nnen. Seit Mai 2019 machte sich vor allem eine Bedrohung mit dem Namen \u201eMegaCortex\u201c bemerkbar, eine Ransomware, dessen Gefahr zun\u00e4chst als eher geringf\u00fcgig eingesch\u00e4tzt wurde. Allerdings steigt die Anzahl der F\u00e4lle dieser Bedrohung durch Einschleusen in Unternehmensnetzwerke und -systeme rapide an. Erst einmal im System werden alle dort vorhandenen Daten verschl\u00fcsselt und die Besitzer der Daten um L\u00f6segeld erpresst.<\/p>\n

Z\u00fcgige Verbreitung der Schadsoftware, wie bspw. \u201eMegaCortex\u201c<\/h2>\n

Ist MegaCortex einmal im System angelangt und hat alle dort gespeicherten Dateien f\u00fcr den Besitzer verschl\u00fcsselt, so hat dieser keinen Zugriff mehr. Nun nutzen die Angreifer die Verzweiflung Ihrer Opfer aus und versuchen \u00fcber den entstandenen Druck und Ausfallzeiten weiteren Schaden anzurichten. Die Nutzer erhalten die Anweisung, ihre gesamten Daten wieder \u201ezur\u00fcckzukaufen\u201c. Dies geschieht durch den Erwerb einer Entschl\u00fcsselungssoftware direkt von den Cyberkriminellen. Die Anweisungen von den Cyberkriminellen enthalten auch einen Hinweis, dass das Opfer mit Kauf der Entschl\u00fcsselungssoftware eine Garantie erh\u00e4lt, nicht erneut angegriffen zu werden. Wie vertrauensw\u00fcrdig eine solche Information ist, sei dahingestellt.<\/p>\n

MegaCortex-Entwickler sind Matrix-Fans<\/h3>\n

Aufgrund des selbst gew\u00e4hlten Namens \u201eMegaCortex\u201c der Cyberkriminellen f\u00fcr Ihre Ransomware geht man davon aus, dass die Erschaffer der Attacke Fans von den Matrix-Filmen sind. Hat doch die Hauptfigur des Films in dem ersten Teil in einem Unternehmen namens \u201eMetaCortex\u201c gearbeitet. Weitere Parallelen finden sich noch im Verlaufe des Angriffs, wie zum Beispiel bei der Formulierung des L\u00f6segeldscheins. Ein zudem kurioser Zusammenhang besteht mit anderen bekannten Attacken wie Emotet und Qbot. \u00dcber die Bedrohung durch Emotet<\/a> haben wir bereits in der Vergangenheit berichtet. In den durch MegaCortex bedrohten Netzwerken fand man Sophos zufolge auch die beiden Bedrohungen Emotet und Qbot. Dies l\u00e4sst die Vermutung entstehen, dass MegaCortex mithilfe dieser Malwareangriffe erst in die Systeme eingeschleust werden konnte und auch massiv f\u00fcr diese neue Bedrohung verantwortlich sind.<\/p>\n

Warnungen durch die Polizei in Z\u00fcrich<\/h3>\n

Mittlerweile sind auch Beh\u00f6rden auf die Bedrohung und Auswirkungen von MegaCortex aufmerksam geworden. Die Z\u00fcricher Kantonspolizei hat bereits im Juli 2019 Stellung zu den Ransomware-Angriffen genommen. Man sei besonders wegen der steigenden Anzahl der Angriffe auf Unternehmen besorgt. Weiterhin vermute man gro\u00dfen Schaden bei Attacken auf KMU und Gro\u00dfunternehmen – besonders finanzieller Natur. Die Z\u00fcricher Polizei formuliert seine Warnung ganz deutlich: Sie sollten keine verd\u00e4chtigen Mails und besonders enthaltene Links oder Anh\u00e4nge \u00f6ffnen. Zum Schluss gibt die Kantonspolizei noch die Anweisung, sich dringend \u00fcber die Angriffe zu informieren, um diesen nicht erst T\u00fcr und Tor zu \u00f6ffnen.<\/p>\n

MegaCortex entwickelt sich weiter<\/h3>\n

Mit einer neuen Version der MegaCortex Ransomware hatte zun\u00e4chst niemand gerechnet und doch ist diese im November 2019 aufgetaucht. Die Gefahren der noch aggressiveren Version hat neben einigen Online-Portalen auch das FBI erkannt und eine Warnung ausgesprochen. Der Angriff der neueren Versionen l\u00e4uft wie folgt ab:
\nNachdem MegaCortex Zugriff auf fremde Systeme erh\u00e4lt, verbleibt der Angreifer zun\u00e4chst im Stillen in dem Unternehmensnetzwerk, beobachtet vermutlich alle Vorg\u00e4nge und sammelt interessante Daten. Erst wenn das System f\u00fcr die Erpresser attraktiv erscheint, beginnt ein Angriff. Die Kriminellen verschl\u00fcsseln alle hinterlegten Daten, \u00e4ndern nun auch Passw\u00f6rter und sperren die Nutzer somit komplett aus dem eigenen System aus. Mit dem Vertrieb der eigenen Entschl\u00fcsselungssoftware an die Opfer ist eine weitere Einnahmequelle gesichert.<\/p>\n

Was steckt hinter MegaCortex?<\/h2>\n

MegaCortex f\u00e4llt besonders durch seine rapide Entwicklung auf. So wurden der Ransomware doch innerhalb eines Jahres vier verschiedene Versionierungen verpasst. Um nicht in Sicherheitskontrollen aufzufallen, nutzt MegaCortex gef\u00e4lschte Code Signing-Zertifikate. Eine jede Bin\u00e4rdatei von MegaCortex enth\u00e4lt also ein solches Signaturzertifikat, ohne das einige Windows-Ger\u00e4te den Code gar nicht ausf\u00fchren w\u00fcrden.<\/p>\n

So sch\u00fctzen Sie Ihr Unternehmen:<\/h2>\n

MegaCortex ist gef\u00e4hrlich \u2013 bislang ist nicht klar, was die Angreifer mit den geklauten Daten bezwecken m\u00f6chten. Diese lediglich zu verkaufen, scheint noch wie ein \u201eBest Case\u201c. MegaCortex entwickelt sich stetig weiter und scheint somit schwer einzud\u00e4mmen. Bestenfalls sch\u00fctzen Sie sich also selbst vor dem Angriff, um finanziellen Schaden und Gefahren durch die Cyberkriminellen zu vermeiden. Das FBI hat einige Ma\u00dfnahmen ver\u00f6ffentlicht, die Sie vornehmen k\u00f6nnen, um sich bestm\u00f6glich vor MegaCortex zu sch\u00fctzen. Diese m\u00f6chten wir Ihnen nicht vorenthalten.<\/p>\n

Schutzma\u00dfnahmen, um der Bedrohung entgegenzuwirken<\/h3>\n

Die bedeutendste Empfehlung des FBI beinhaltet die Datensicherung. Sichern Sie alle Ihre Daten in regelm\u00e4\u00dfigen Abst\u00e4nden offline. Durch diese stetigen Absicherungen kann ein Angriff durch MegaCortex deutlich weniger Schaden verursachen, sie haben schlie\u00dflich die M\u00f6glichkeit, Ihre gesamten Daten selbst wiederherzustellen. Weiterhin empfiehlt es sich jegliche Firmenger\u00e4te stets zu aktualisieren. Nutzen Sie immer die aktuellsten Versionen der Betriebssysteme und Programme sowie die aktuellste Version der PowerShell. So vermeiden Sie Sicherheitsl\u00fccken.
\nMithilfe einer regelm\u00e4\u00dfigen \u00dcberpr\u00fcfung aller Remoteverbindungsprotokolle stellen Sie fest, ob Angreifer auf Ihr Netzwerk zugreifen. Sollte ein Angreifer Zugriff haben, erkennen Sie dies fr\u00fchzeitig.
\nNutzen Sie eine strikte Passwortrichtlinie und schulen Sie alle Mitarbeiter \u00fcber die Erstellung sicherer Passw\u00f6rter. Verwenden Sie au\u00dferdem eine Zwei-Faktor-Authentifizierung. Nat\u00fcrlich sollten neu erstellte Konten, Active Directory oder Admin-Gruppen\u00e4nderung ebenfalls stetig \u00fcberpr\u00fcft werden.
\nJegliche offenen Ports sollten gesperrt und das Protokoll SMBv1 deaktiviert werden.
\nBeachten Sie diese Richtlinien, sind Sie gegen Angriffe wie MegaCortex gewappnet. Was Ihnen ebenfalls weiterhilft, ist fundiertes Wissen \u00fcber die Angriffe. Informieren Sie sich also regelm\u00e4\u00dfig \u00fcber Neuigkeiten der Angriffe, da sich diese rapide weiterentwickeln.<\/p>\n