Cryptme Ransomware

Cryptme Ransomware Popis

Globální pandemie ovlivňuje téměř všechny aspekty našeho každodenního života a vyžaduje dramatickou změnu jak na pracovišti, tak v domácích rutinách. Jedním ze sektorů, které byly nuceny rychle se přizpůsobit používání nových technologií, byl vzdělávací systém, v němž učitelé museli rychle získávat dovednosti potřebné k provádění lekcí v plně online prostředí. Je zaručeno, že se problémy a problémy objeví, a kyberzločinci byli zjevně připraveni to využít, když vědci z Proofpointu odhalili jemně vytvořenou ransomwarovou kampaň přesně zacílenou na jednotlivé učitele.

Hackeři distribuovali e-maily, které se vydávaly za odeslané rodičem nebo opatrovníkem studenta a údajně doručily úkol od studenta. Předstírala, že neznámé problémy zabránily studentovi v zadání úkolu obvyklým způsobem. Názvy e-mailů byly variacemi „Son's Assignment Upload“, „Assignment Upload Failure for [Student's Name]“ nebo „[Student's Name] 's Assignment Upload Failed“, zatímco přiložené soubory spojené s malwarem byly pojmenovány [Student's Name] -assignment.docx "a byly umístěny do souboru zip" [Jméno studenta] -assignment.zip. '

Malware šitý na míru doručovaný učitelům

Malware nalezený uvnitř e-mailových příloh zneužil vzdálené vložení šablony ke stažení dalšího ohrožujícího dokumentu. Pokud má cílený uživatel povolená makra, otevírá to cestu ke stažení spustitelných souborů malwaru. Hackeři, kteří za kampaní stojí, použili k doručení spustitelných souborů bezplatnou službu hostování kódu s názvem notabug.org. Další zvědavou charakteristikou ohrožujících operací je, že útočníci obdrží e-mail nebo SMS zprávu, když je spustitelný soubor spuštěn pomocí bezplatné služby webové chyby s názvem Canarytokens.

Pokud jde o hlavní užitečné zatížení dodávané kompromitovanému stroji - jedná se o hrozbu ransomwaru vyrobenou na míru, Cryptime Ransomware , kterou hackeři napsali v programovacím jazyce Go a pojmenovali ji „cryptme“. Malware je dodáván jako dva spustitelné soubory - „ctool.exe“ a „etool.exe“, přičemž jeden je obálkou potřebnou k zahájení druhého. Soubory šifrované hrozbou mají příponu „.cryptme“ připojenou k původním názvům souborů. Výkupné je dodáváno jako textový soubor s názvem „About_Your_Files.txt“, který je vytvořen na ploše napadených systémů. Hrozba také zobrazí vyskakovací okno s mírnou variací stejného textu.