s0576-megacortex - RunkIntel

# MegaCortex > Tipo: **malware** · S0576 · [MITRE ATT&CK](https://attack.mitre.org/software/S0576) ## Descrição [[s0576-megacortex|MegaCortex]] é um ransomware que surgiu pela primeira vez em maio de 2019, rapidamente ganhando notoriedade por ataques direcionados a grandes empresas industriais e manufatureiras na Europa e América do Norte. O MegaCortex distingue-se pelo uso de certificados de assinatura de código legítimos roubados ou adquiridos ([[t1588-003-code-signing-certificates|T1588.003]]) e pela destruição parcial de disco antes da exfiltração de dados, em alguns variantes. O MegaCortex usa Rundll32 ([[t1218-011-rundll32|T1218.011]]) para execução de componentes DLL, realiza verificações de sistema ([[t1497-001-system-checks|T1497.001]]) para detecção de ambientes de análise e para sistemas, desativa serviços de segurança ([[t1562-001-disable-or-modify-tools|T1562.001]]) e para serviços antes da criptografia ([[t1489-service-stop|T1489]]). O ransomware inibe a recuperação do sistema ([[t1490-inhibit-system-recovery|T1490]]), enumerando e deletando backups. Injeção de DLL ([[t1055-001-dynamic-link-library-injection|T1055.001]]) é usada para execução stealth, e o Registry é modificado ([[t1112-modify-registry|T1112]]) para configuração persistente. Em algumas variantes, wipe de conteúdo de disco ([[t1561-001-disk-content-wipe|T1561.001]]) é executado como técnica adicional de pressão. O MegaCortex foi distribuído frequentemente via Emotet e Qakbot como dropper - demonstrando o modelo de Initial Access Broker que se tornou dominante no ecossistema de ransomware. Empresas do setor industrial brasileiro que carecem de segmentação entre redes IT e OT são particularmente vulneráveis a ataques com perfil similar ao MegaCortex. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1218-011-rundll32|T1218.011 - Rundll32]] - [[t1497-001-system-checks|T1497.001 - System Checks]] - [[t1588-003-code-signing-certificates|T1588.003 - Code Signing Certificates]] - [[t1531-account-access-removal|T1531 - Account Access Removal]] - [[t1490-inhibit-system-recovery|T1490 - Inhibit System Recovery]] - [[t1562-001-disable-or-modify-tools|T1562.001 - Disable or Modify Tools]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1055-001-dynamic-link-library-injection|T1055.001 - Dynamic-link Library Injection]] - [[t1489-service-stop|T1489 - Service Stop]] - [[t1112-modify-registry|T1112 - Modify Registry]] - [[t1561-001-disk-content-wipe|T1561.001 - Disk Content Wipe]] - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1106-native-api|T1106 - Native API]] ## Detecção - **[[ds-0009-process|Process Creation]]** - Monitorar uso de `rundll32.exe` para carregar DLLs com nomes aleatórios ou de caminhos temporários - técnica central de execução do MegaCortex. - **[[ds-0022-file|File Creation]]** - Detectar criação de arquivos com extensão `.aes128ctr` ou notas de resgaté (`!! READ ME !!.txt`) após execução de DLLs suspeitas via Rundll32. - **[[ds-0030-instance|Service Stop]]** - Alertar para parada em massa de serviços Windows por processos não autorizados - ação pré-criptografia do MegaCortex para maximizar impacto. ```sigma title: MegaCortex Ransomware Execution via Rundll32 status: stable logsource: category: process_creation product: windows detection: selection: Image|endswith: '\rundll32.exe' CommandLine|re: '\\[A-Za-z0-9]{8,}\.(dll|bin|dat)' condition: selection falsepositives: - Legitimaté software using Rundll32 with non-standard DLL names level: high tags: - attack.execution - attack.t1218.011 - code/distill ``` ## Relevância LATAM/Brasil O MegaCortex foca em organizações industriais de médio e grande porte, um segmento com forte presença no Brasil (automotivo, agroindústria, petroquímica, siderúrgica). Empresas deste segmento que utilizam Emotet ou Qakbot como vetores de entrega de malware - comuns em campanhas de phishing contra empresas brasileiras - estão expostas a ransomwares como o MegaCortex como payload final. ## Referências - [MITRE ATT&CK - S0576](https://attack.mitre.org/software/S0576) - [Sophos - MegaCortex: A new ransomware family](https://news.sophos.com/en-us/2019/05/02/megacortex-new-ransomware-seen-in-multiple-attacks/)