La società di sicurezza informatica Bitdefender ha rilasciato un decriptatore per il ransomware MegaCortex, utilizzato in attacchi a livello globale prima che le incursioni della polizia ne ostacolassero le operazioni. Il decriptatore è stato sviluppato in coordinamento con la polizia svizzera e le forze dell’ordine europee, che hanno effettuato raid nell’ottobre 2021 contro i presunti criminali informatici dietro i ceppi di ransomware Dharma, MegaCortex e LockerGoga.
Europol ha dichiarato all’epoca che il gruppo, utilizzando tutti e tre i ceppi di ransomware, era responsabile di 1.800 infezioni in 71 Paesi. Le forze dell’ordine europee li hanno accusati di aver lanciato l’attacco del 2019 al gigante norvegese dell’alluminio Norsk Hydro. Dopo le incursioni, Bitdefender ha collaborato con Europol, il NoMoreRansom Project, la Procura di Zurigo e la Polizia cantonale di Zurigo per creare decrittatori per ogni ransomware, rilasciandone uno per LockerGoga nell’ottobre 2022. Per creare i decrittatori universali sono state utilizzate le chiavi di decrittazione principali trovate durante le incursioni, ma si invitano comunque le persone colpite dal ransomware a sporgere denuncia penale se non l’hanno già fatto.
Giovedì Bitdefender ha pubblicato il decriptatore per MegaCortex, che è stato utilizzato in diversi attacchi in Italia, Stati Uniti, Canada e Paesi Bassi, tra cui uno al provider di cloud hosting online iNSYNQ nel 2019 e un altro al gigante del software contabile Wolters Kluwer. Gli analisti hanno scoperto che il gruppo chiedeva in genere riscatti tra i 20.000 e i 5,8 milioni di dollari. Bogdan Botezatu, direttore della ricerca sulle minacce di Bitdefender, ha dichiarato a The Record che nell’ultimo anno sono stati contattati da diverse vittime in cerca di modi per recuperare i dati dopo essere stati attaccati con il ransomware MegaCortex. Poiché il gruppo non è più attivo, il decriptatore aiuterà solo le vittime che hanno conservato le loro apparecchiature criptate, ha dichiarato Allan Liska, esperto di ransomware di Recorded Future.
Botezatu ha osservato che MegaCortex è stato gestito da un team complesso, alcuni dei quali erano specializzati nell’identificazione e nello sfruttamento di vulnerabilità note nell’infrastruttura esposta, o sfruttando un’infezione preesistente sulla rete (come Emotet o Qakbot). “In alcune circostanze, le credenziali rubate sono state utilizzate per compromettere il controller di dominio e quindi utilizzare altri componenti manuali o automatizzati per distribuire i payload di MegaCortex in tutta l’organizzazione”. Secondo Botezatu, Bitdefender ha ricevuto le chiavi ottenute dalle forze dell’ordine per creare il decriptatore, ma non è stata coinvolta nell’indagine.
Liska ha dichiarato che dopo il raid, MegaCortex è in gran parte scomparso dalla scena.
“MegaCortex è apparso per la prima volta nel 2019 ed è stato molto attivo per circa un anno e mezzo (fino al suo arresto)”, ha detto. “Sono stati tra i primi gruppi di ‘caccia grossa’ a collaborare con Qakbot (QBot) per la distribuzione e sono stati anche uno dei primi gruppi di ransomware a firmare i propri eseguibili”. In un comunicato stampa dell’anno scorso, la Procura di Zurigo ha dichiarato di aver pianificato il rilascio di un decriptatore per il ransomware dopo aver trovato le chiavi di decrittazione di un hacker specifico che è attualmente detenuto a Zurigo e sta affrontando una serie di accuse di hacking e riciclaggio di denaro. “È bello vedere un gruppo di ransomware che viene arrestato e che rimane inattivo”, ha dichiarato Liska.
