Cryptme Ransomware

Cryptme Ransomware Beskrivelse

Den globale pandemi påvirker næsten alle aspekter af vores daglige liv og nødvendiggør en dramatisk ændring i både arbejdspladsen og hjemmet. En af de sektorer, der blev tvunget til hurtigt at tilpasse sig anvendelse af nye teknologier, var uddannelsessystemet, hvor lærere hurtigt skulle tilegne sig de nødvendige færdigheder til at gennemføre lektioner i et helt online miljø. Problemer og problemer dukker garanteret op, og tilsyneladende var cyberkriminelle klar til at drage fordel af det med forskerne på Proofpoint, der opdagede en fint udformet ransomwarekampagne, der var målrettet mod individuelle lærere.

Hackerne distribuerede e-mails, der maskerede sig som sendt fra en studerendes forælder eller værge og angiveligt leverede en opgave fra den studerende. Forestillingen var, at ukendte problemer havde forhindret den studerende i at aflevere opgaven på den sædvanlige måde. Titlerne på e-mails var variationer af 'Son's Assignment Upload', 'Assignment Upload Failure for [Student's Name]' eller '[Student's Name]' s Assignment Upload Failed ', mens de vedhæftede malware-snørede filer fik navnet [Student's Name] -assignment.docx "og blev placeret i en zip-fil" [Studentens navn] -assignment.zip. '

En skræddersyet malware leveret til lærere

Malwaren, der findes i vedhæftede filer, misbrugte Remote Template-injektion for at downloade et andet truende dokument. Hvis den målrettede bruger har aktiveret makroer, åbner det vejen for download af eksekverbare malware. Hackerne bag kampagnen brugte en gratis kodehostingtjeneste kaldet notabug.org til at levere de eksekverbare filer. Et andet besynderligt kendetegn ved de truende operationer er, at angriberne modtager en e-mail eller SMS-besked, når en eksekverbar fil startes ved at udnytte en gratis web-bug-tjeneste kaldet Canarytokens.

Hvad angår den største nyttelast leveret til den kompromitterede maskine - det er en skræddersyet trussel mod ransomware, Cryptime Ransomware , som hackerne skrev på Go-programmeringssproget og kaldte det 'cryptme'. Malware leveres som to eksekverbare filer - 'ctool.exe' og 'etool.exe', hvoraf den ene er en indpakning, der er nødvendig for at starte den anden. Filer krypteret af truslen har '.cryptme' vedhæftet deres originale filnavne. Løsepenge noten leveres som en tekstfil med navnet 'About_Your_Files.txt', der oprettes på skrivebordet i de kompromitterede systemer. Et pop op-vindue med en lille variation af den samme tekst vises også af truslen.