MegaCortex es una más de las variedades de ransomware que podemos encontrarnos en la red. Se distribuye a través de ataques dirigidos. Fue Sophos quien descubrió inicialmente esta amenaza.
Los atacantes pueden obtener acceso a la red de la víctima. Posteriormente podía comprometer el controlador de dominio de Windows. Es gracias a esto como pueden instalar Cobalt Strike y abrir una Shell inversa a los atacantes. Hecho esto los piratas informáticos podrían distribuir archivos y ransomware al resto de dispositivos conectados en esa misma red.
Uno de estos archivos es el ejecutable winnit.exe. Con este archivo pueden extraer e inyectar un DLL en la memoria. Es a través de este DLL como el ransomware es capaz de cifrar los archivos en el equipo infectado. Por el momento los investigadores desconocen cómo pueden tener acceso a esa red.
Un factor a destacar de MegaCortex es que el atacante puede tener un control en directo del proceso. Puede monitorizar en todo momento el ataque y, una vez termina el ataque, limpiar la amenaza.
Según indican los investigadores, cuando se ejecuta puede bloquear numerosos servicios de Windows, incluidos antivirus o programas para realizar copias de seguridad. Empezará a cifrar los archivos del equipo de la víctima, aunque con algunas excepciones como los .dll, .exe, .lnk, etc.
Como en cualquier tipo de ransomware, una vez ha cifrado el equipo informará sobre el proceso para realizar el pago. La víctima encontrará un archivo de texto con las direcciones de correo donde se tiene que poner en contacto y las instrucciones del pago. Dicho pago es variable. Según informan los investigadores de seguridad puede ir desde 2-3 bitcoins hasta varios cientos. Estamos hablando de una amenaza orientada principalmente a empresas
