Cryptme Ransomware

Maailmanlaajuinen pandemia vaikuttaa melkein kaikkiin jokapäiväisen elämämme osa-alueisiin ja edellyttää dramaattista muutosta sekä työpaikoilla että kodeissa. Yksi aloista, jotka joutuivat sopeutumaan nopeasti uuden tekniikan käyttöön, oli koulutusjärjestelmä, jossa opettajien oli nopeasti hankittava tarvittavat taidot oppituntien suorittamiseen täysin online-ympäristössä. Ongelmia ja ongelmia taataan varmasti, ja ilmeisesti verkkorikolliset olivat valmiita hyödyntämään sitä yhdessä Proofpointin tutkijoiden kanssa, jotka havaitsivat hienosti suunnitellun ransomware-kampanjan, joka on kohdistettu tarkasti yksittäisille opettajille.

Hakkerit jakelivat sähköposteja, jotka naamioituivat lähettämistä opiskelijan vanhemmilta tai huoltajilta ja joiden oletettiin toimittavan tehtävän opiskelijalta. Teeskentely oli, että tuntemattomat asiat olivat estäneet opiskelijaa lähettämästä tehtävää tavalliseen tapaan. Sähköpostiviestien otsikot olivat muunnelmia 'Pojan tehtävän lataus', 'Tehtävän lataus epäonnistui [opiskelijan nimi] tai' [Opiskelijan nimi] tehtävän lataus epäonnistui ', kun taas liitettyjen haittaohjelmilla sidottujen tiedostojen nimi oli [Opiskelijan nimi]. -assignment.docx "ja sijoitettiin zip-tiedostoon" [Student's Name] -assignment.zip ".

Räätälöity haittaohjelma toimitetaan opettajille

Sähköpostiliitteiden sisällä löytynyt haittaohjelma väärinkäsi Remote Template -injektiota uuden uhkaavan asiakirjan lataamiseksi. Jos kohdennetulla käyttäjällä on makrot käytössä, se avaa tietä haittaohjelmien suoritettavien tiedostojen lataamiselle. Kampanjan takana olleet hakkerit käyttivät ilmaista koodin isännöintipalvelua nimeltä notabug.org suoritettavien tiedostojen toimittamiseen. Toinen mielenkiintoinen ominaisuus uhkaaville operaatioille on, että hyökkääjät saavat sähköpostin tai tekstiviestin, kun suoritettava tiedosto käynnistetään hyödyntämällä Canarytokens-nimistä ilmaista verkkovirhepalvelua.

Mitä tulee vaarantuneelle koneelle toimitettuun pääkuormitukseen - se on räätälöity ransomware-uhka, Cryptime Ransomware , jonka hakkerit kirjoittivat Go-ohjelmointikielellä ja nimeivät sen salaukseksi. Haittaohjelma toimitetaan kahtena suoritettavana tiedostona - 'ctool.exe' ja 'etool.exe', joista toinen on kääre, jota tarvitaan toisen käynnistämiseen. Uhkan salaamat tiedostot ovat .cryptme liitetty alkuperäisiin tiedostonimiin. Lunnaita koskeva huomautus toimitetaan tekstitiedostona nimeltä About_Your_Files.txt, joka luodaan vaarantuneiden järjestelmien työpöydälle. Uhka näyttää myös ponnahdusikkunan, jossa on pieni muunnelma samasta tekstistä.