CatB Ransomware
Το CatB ransomware είναι μια άσχημη απειλή που στοχεύει εταιρικές οντότητες και αρχικά θεωρήθηκε ότι ήταν μια παραλλαγή του Pandora Ransomware λόγω ομοιοτήτων μεταξύ των σημειώσεων λύτρων τους. Ωστόσο, τα δύο είναι αρκετά διαφορετικά. Το CatB περιέχει τεχνικές anti-VM για την επαλήθευση της εκτέλεσης σε «πραγματικό μηχάνημα», ακολουθούμενη από απόρριψη ενός DLL και χρήση πειρατείας DLL για σκοπούς αποφυγής εντοπισμού. Το κακόβουλο λογισμικό αποτελείται από δύο αρχεία: το 'version.dll', το οποίο είναι γεμάτο με UPX και είναι υπεύθυνο για τη διεξαγωγή των ελέγχων anti-VM, και το 'oci.dll', το ωφέλιμο φορτίο ransomware, το οποίο εκτελείται μετά την απόρριψη.
Πίνακας περιεχομένων
Έλεγχος για περιβάλλοντα Sandbox
Η ανάλυση του CatB αποκάλυψε τρεις διαφορετικές μεθόδους που χρησιμοποιούνται από την απειλή για να διασφαλιστεί ότι εκτελείται σε πραγματικό υπολογιστή και όχι σε VM/sandbox. Η απειλή θα εκτελέσει έναν έλεγχο πυρήνα επεξεργαστή, θα επαληθεύσει τη συνολική διαθέσιμη μνήμη του συστήματος και θα εξετάσει το μέγεθος του συνδεδεμένου σκληρού δίσκου.
Οι τρέχοντες ή σύγχρονοι υπολογιστές έχουν συνήθως ελάχιστες προδιαγραφές υλικού. Εάν το CatB εντοπίσει αποτελέσματα που αποκλίνουν πολύ ή είναι κάτω από μια αναμενόμενη τιμή, θα αντιμετωπίσει τα αποτελέσματα ως ένδειξη ότι δεν εκτελείται σε πραγματικό σύστημα. Για παράδειγμα, οι περισσότεροι υπολογιστές θα έχουν τουλάχιστον δύο πυρήνες επεξεργαστή, επομένως η παρουσία μόνο ενός θα κριθεί ως ύποπτη. Το ίδιο ισχύει και για το μέγεθος της φυσικής μνήμης. Το CatB Ransomware εκμεταλλεύεται τη λειτουργία GlobalMemoryStatusEx API για να ανακτήσει τις απαραίτητες πληροφορίες και θα κλείσει μόνο του εάν τα επιστρεφόμενα αποτελέσματα δείχνουν λιγότερα από 2 GB φυσικής μνήμης. Τέλος, το ransomware δεν θα ενεργοποιηθεί εάν διαπιστώσει ότι το τρέχον περιβάλλον του έχει λιγότερο από 50 GB χώρο στον σκληρό δίσκο.
DLL Hijacking και Persistence
Εάν περάσουν όλοι οι έλεγχοι anti-VM, το dropper θα προχωρήσει στην απόθεση του ωφέλιμου φορτίου ransomware (oci.dll) στο φάκελο C:\Windows\System32 και θα τροποποιήσει τις διαμορφώσεις της υπηρεσίας MSDTC (η υπηρεσία Distributed Transaction Coordinator Windows, η οποία είναι υπεύθυνη για τον συντονισμό συναλλαγών μεταξύ βάσεων δεδομένων και διακομιστών Ιστού). Οι τροποποιήσεις περιλαμβάνουν αλλαγή του ονόματος του λογαριασμού που εκτελεί την υπηρεσία από Υπηρεσία Δικτύου σε Τοπικό Σύστημα, παραχώρηση δικαιωμάτων διαχειριστή και αλλαγή της επιλογής εκκίνησης από Απαίτηση έναρξης σε Αυτόματη έναρξη για να διατηρείται σταθερή μετά από επανεκκίνηση του συστήματος.
Μόλις το σταγονόμετρο αλλάξει τις απαραίτητες ρυθμίσεις, εκκινεί την υπηρεσία. Αυτή η υπηρεσία θα προσπαθήσει από προεπιλογή να φορτώσει πολλά DLL από το φάκελο System32. Αυτό επιτρέπει στην απειλή να καταθέσει ένα παράνομο DLL (όπως το oci.dll) στον ίδιο κατάλογο, επιτρέποντάς του να εκτελεί κατεστραμμένο κώδικα.
Ρουτίνα κρυπτογράφησης και απαιτήσεις λύτρων
Η κρυπτογράφηση των δεδομένων του θύματος ξεκινά τη στιγμή που φορτώνεται το αρχείο ωφέλιμου φορτίου CatB Ransomware «oci.dll» ως μέρος της διαδικασίας «msdtc.exe». Κατά την εκτέλεσή του, το CatB παρουσιάζει αρκετά χαρακτηριστικά που το ξεχωρίζουν από τις πιο κοινές απειλές ransomware. Αρχικά, θα απαριθμήσει τους υπάρχοντες δίσκους και τις μονάδες δίσκου και θα κρυπτογραφήσει μόνο αυτούς που αποτελούν μέρος της λίστας με σκληρό κώδικα - Δίσκοι D:\, E:\, F:\, G:\, H:\, I:\ και όλα τα αρχεία που περιέχονται στο C:\Users και στους υποφακέλους του. Για να αποφευχθεί η πρόκληση κρίσιμων σφαλμάτων συστήματος στη συσκευή που θα μπορούσαν να εμποδίσουν τα θύματα να παρατηρήσουν ακόμη και την επίθεση ransomware, το CatB δεν θα επηρεάσει πολλές συγκεκριμένες επεκτάσεις αρχείων - .msi, .exe, .dll, .sys, .iso, καθώς και Αρχείο NTUSER.DAT. Σημειώστε ότι η CatB δεν αλλάζει με κανέναν τρόπο τα ονόματα των αρχείων που κρυπτογραφεί.
Μια άλλη απόκλιση από τον κανόνα παρατηρείται στον τρόπο με τον οποίο το CarB Ransomware παραδίδει τη σημείωση λύτρων του. Αντί να δημιουργήσει ένα αρχείο κειμένου με το μήνυμα που απαιτεί λύτρα σε κάθε φάκελο που περιέχει κλειδωμένα δεδομένα, η απειλή επισυνάπτει το μήνυμά της στην αρχή κάθε κρυπτογραφημένου αρχείου. Αυτό σημαίνει ότι τα θύματα θα μπορούσαν αρχικά να μπερδευτούν σχετικά με το γιατί τα αρχεία τους εμφανίζονται κατεστραμμένα και θα παρουσιάζονται μόνο με τις απαιτήσεις των εισβολέων όταν προσπαθούν να ανοίξουν ένα από τα επηρεαζόμενα αρχεία. Το σημείωμα λύτρων αναφέρει ότι το CatB Ransomware χρησιμοποιεί τον αλγόριθμο κρυπτογράφησης RAS-2048 και το μέγεθος των απαιτούμενων λύτρων θα βασίζεται στον χρόνο που χρειάζονται τα θύματα για να πληρώσουν. Τα ποσά κυμαίνονται από 50 Bitcoin (~ 800 000 $) έως 130 Bitcoin (~ 2 εκατομμύρια $). Μετά από πέντε ημέρες, οι χάκερ απείλησαν ότι όλα τα κρυπτογραφημένα δεδομένα θα χαθούν οριστικά. Προφανώς, τα θύματα μπορούν να στείλουν έως και 3 αρχεία στη διεύθυνση email «catB9991@protonmail.com» για να αποκρυπτογραφηθούν δωρεάν.
Το πλήρες κείμενο της σημείωσης του CatB Ransomware είναι:
'??? Τι έγινε???
!!! Τα αρχεία σας είναι κρυπτογραφημένα!!!Όλα τα αρχεία σας προστατεύονται από ισχυρή κρυπτογράφηση με RSA-2048.
Δεν υπάρχει δημόσιο λογισμικό αποκρυπτογράφησης.Πρόγραμμα και ιδιωτικό κλειδί, ποια είναι η τιμή; Η τιμή εξαρτάται από το πόσο γρήγορα μπορείτε να μας πληρώσετε.
1 ημέρα: 50 Bitcoin
2 ημέρα: 60 Bitcoin
3 ημέρα: 90 Bitcoin
4 ημέρα: 130 Bitcoin
5 ημέρα : μόνιμη απώλεια δεδομένων !!!!Διεύθυνση Btc: bc1qakuel0s4nyge9rxjylsqdxnn9nvyhc2z6k27gz
!!! Αφού λάβουμε, θα στείλουμε το πρόγραμμα και το ιδιωτικό κλειδί στο τμήμα πληροφορικής σας αμέσως τώρα.!!!Δωρεάν αποκρυπτογράφηση Ως εγγύηση, μπορείτε να μας στείλετε έως και 3 δωρεάν αποκρυπτογραφημένα αρχεία πριν από την πληρωμή.
email: catB9991@protonmail.com!!! Μην επιχειρήσετε να αποκρυπτογραφήσετε τα δεδομένα σας χρησιμοποιώντας λογισμικό τρίτων, αυτό μπορεί να οδηγήσει σε μόνιμη απώλεια δεδομένων.!!!
!!! Το πρόγραμμά μας μπορεί να επισκευάσει τον υπολογιστή σας σε λίγα λεπτά.!!!'
