CatB Ransomware
El ransomware CatB és una amenaça desagradable que s'adreça a les entitats corporatives i inicialment es va pensar que era una variant de Pandora Ransomware a causa de les similituds entre les seves notes de rescat. Tanmateix, els dos són força diferents. CatB conté tècniques anti-VM per verificar l'execució en una "màquina real", seguida de deixar caure una DLL i utilitzar el segrest de DLL amb finalitats d'evasió de detecció. El programari maliciós consta de dos fitxers: 'version.dll', que inclou UPX i s'encarrega de dur a terme les comprovacions anti-VM, i 'oci.dll', la càrrega útil del ransomware, que s'executa després de deixar-se caure.
Taula de continguts
Comprovació d’entorns Sandbox
L'anàlisi de CatB ha descobert tres mètodes diferents utilitzats per l'amenaça per assegurar-se que s'executa en un ordinador real i no en una màquina virtual/sandbox. L'amenaça realitzarà una comprovació del nucli del processador, verificarà la memòria total disponible del sistema i considerarà la mida del disc dur connectat.
Els ordinadors actuals o moderns solen tenir especificacions de maquinari mínimes. Si CatB detecta resultats que es desvien massa o estan per sota d'un valor esperat, tractarà els resultats com un signe que no s'executa en un sistema real. Per exemple, la majoria d'ordinadors tindran com a mínim dos nuclis de processador, de manera que la presència d'un només es considerarà sospitosa. El mateix s'aplica a la mida de la memòria física. El CatB Ransomware aprofita la funció de l'API GlobalMemoryStatusEx per recuperar la informació necessària i es tancarà si els resultats retornats mostren menys de 2 GB de memòria física. Finalment, el ransomware no s'activarà si determina que el seu entorn actual té menys de 50 GB d'espai al disc dur.
Segrest i persistència de DLL
Si passen totes les comprovacions anti-VM, el dropper procedirà a deixar anar la càrrega útil del ransomware (oci.dll) a la carpeta C:\Windows\System32 i modificar les configuracions del servei MSDTC (el servei del Coordinador de transaccions distribuïdes de Windows, que és responsable per coordinar transaccions entre bases de dades i servidors web). Les modificacions inclouen canviar el nom del compte que executa el servei de Servei de xarxa a Sistema local, concedir-li drets d'administrador i alterar la seva opció d'inici d'inici de demanda a Inici automàtic per mantenir la persistència després d'un reinici del sistema.
Un cop el comptagotes ha alterat la configuració necessària, llança el servei. Aquest servei intentarà per defecte carregar diverses DLL des de la carpeta System32. Això permet que l'amenaça dipositi una DLL il·legítima (com ara oci.dll) al mateix directori, la qual cosa li permet executar codi corrupte.
Rutina de xifratge i demandes de rescat
El xifratge de les dades de la víctima comença en el moment en què es carrega el fitxer de càrrega útil de CatB Ransomware "oci.dll" com a part del procés "msdtc.exe". Durant la seva execució, CatB presenta diverses característiques que el diferencien de les amenaces de ransomware més comunes. En primer lloc, enumerarà els discos i unitats existents i només xifrarà els que formen part de la seva llista codificada: Discs D:\, E:\, F:\, G:\, H:\, I:\, i tots els fitxers continguts a C:\Usuaris i les seves subcarpetes. Per evitar que es produeixin errors crítics del sistema al dispositiu que puguin evitar que les víctimes fins i tot s'adonin de l'atac del ransomware, CatB no afectarà diverses extensions de fitxer específiques: .msi, .exe, .dll, .sys, .iso, així com el Fitxer NTUSER.DAT. Tingueu en compte que CatB no canvia de cap manera els noms dels fitxers que xifra.
Una altra desviació de la norma s'observa en la manera com el CarB Ransomware lliura la seva nota de rescat. En lloc de crear un fitxer de text amb el missatge que exigeix el rescat a cada carpeta que conté dades bloquejades, l'amenaça adjunta el seu missatge al començament de cada fitxer xifrat. Això vol dir que les víctimes es podrien confondre inicialment sobre per què els seus fitxers semblen corruptes i només es presentaran les demandes dels atacants quan intentin obrir un dels fitxers afectats. La nota de rescat estableix que CatB Ransomware utilitza l'algorisme de xifratge RAS-2048 i la mida del rescat demanat es basarà en el temps que triguen les víctimes a pagar. Les sumes oscil·len entre 50 Bitcoin (~$800 000) i 130 Bitcoin (~$2 milions). Després de cinc dies, els pirates informàtics van amenaçar que totes les dades xifrades es perdrien permanentment. Pel que sembla, les víctimes poden enviar fins a 3 fitxers a l'adreça de correu electrònic 'catB9991@protonmail.com' per ser desxifrats de forma gratuïta.
El text complet de la nota de CatB Ransomware és:
'??? Què va passar???
!!! Els vostres fitxers estan xifrats!!!Tots els vostres fitxers estan protegits per un xifratge fort amb RSA-2048.
No hi ha programari públic de desxifrat.Programa i clau privada, quin és el preu? El preu depèn de la rapidesa amb què ens puguis pagar.
1 dia: 50 Bitcoin
2 dies: 60 Bitcoin
3 dies: 90 Bitcoin
4 dies: 130 Bitcoin
5 dies: pèrdua permanent de dades!!!!Adreça Btc: bc1qakuel0s4nyge9rxjylsqdxnn9nvyhc2z6k27gz
!!! Un cop rebut, enviarem el programa i la clau privada al vostre departament informàtic ara mateix.!!!Desxifrat gratuït Com a garantia, ens podeu enviar fins a 3 fitxers desxifrats gratuïts abans del pagament.
Correu electrònic: catB9991@protonmail.com!!! No intenteu desxifrar les vostres dades amb programari de tercers, això pot provocar una pèrdua permanent de dades.!!!
!!! El nostre programa pot reparar el vostre ordinador en pocs minuts.!!!'
