CatB Ransomware

תוכנת הכופר CatB היא איום מגעיל המכוון לישויות תאגידיות ונחשבה בתחילה כגרסה של Pandora Ransomware בשל קווי דמיון בין הערות הכופר שלהן. עם זאת, השניים די שונים. CatB מכיל טכניקות אנטי-VM לאימות ביצוע על 'מכונה אמיתית', ולאחר מכן הפלת DLL ושימוש בחטיפת DLL למטרות התחמקות מזיהוי. התוכנה הזדונית מורכבת משני קבצים: 'version.dll', עמוס ב-UPX ואחראי על ביצוע הבדיקות נגד VM, ו-'oci.dll', מטען הכופר, שמתבצע לאחר שחרור.

בדיקת סביבות ארגז חול

ניתוח של CatB חשף שלוש שיטות שונות המשמשות את האיום כדי להבטיח שהוא מבוצע במחשב אמיתי ולא ב-VM/ארגז חול. האיום יבצע בדיקת ליבת מעבד, יאמת את סך הזיכרון הזמין של המערכת וישקול את גודל הכונן הקשיח המחובר.

למחשבים נוכחיים או מודרניים יש בדרך כלל מפרטי חומרה מינימליים. אם CatB מזהה תוצאות החורגות יותר מדי או שהן מתחת לערך הצפוי, היא תתייחס לתוצאות כסימן לכך שהיא לא מופעלת על מערכת אמיתית. לדוגמה, לרוב המחשבים יהיו לפחות שתי ליבות מעבד, כך שנוכחותה של אחת בלבד תיבחן כחשודה. כך גם לגבי גודל הזיכרון הפיזי. תוכנת הכופר של CatB מנצלת את פונקציית GlobalMemoryStatusEx API כדי לאחזר את המידע הדרוש ותסגור את עצמה אם התוצאות המוחזרות מציגות פחות מ-2GB של זיכרון פיזי. לבסוף, תוכנת הכופר לא תופעל אם היא תקבע שבסביבה הנוכחית שלה יש פחות מ-50GB של שטח כונן קשיח.

חטיפת DLL והתמדה

אם כל בדיקות האנטי-VM עוברות, המטפטף ימשיך לשחרר את מטען הכופר (oci.dll) לתיקיית C:\Windows\System32 וישנה את התצורות של שירות MSDTC (שירות Windows Transaction Distributed Coordinator, האחראי לתיאום עסקאות בין מסדי נתונים ושרתי אינטרנט). השינויים כוללים שינוי שם החשבון המריץ את השירות משירות רשת למערכת מקומית, הענקת זכויות אדמין ושינוי אפשרות ההתחלה שלו מ-Demand start ל-Auto start כדי לשמור על התמדה לאחר הפעלה מחדש של המערכת.

לאחר שהמטפטף שינה את ההגדרות הדרושות, הוא מפעיל את השירות. שירות זה ינסה כברירת מחדל לטעון מספר DLLs מתיקיית System32. זה מאפשר לאיום להפקיד DLL לא לגיטימי (כגון oci.dll) באותה ספרייה, מה שמאפשר לו להפעיל קוד פגום.

שגרת הצפנה ודרישות כופר

ההצפנה של הנתונים של הקורבן מתחילה ברגע שקובץ המטען של CatB Ransomware 'oci.dll' נטען כחלק מתהליך 'msdtc.exe'. במהלך ביצועו, CatB מציג מספר מאפיינים שמבדילים אותו מהאיומים הנפוצים יותר של תוכנות הכופר. ראשית, הוא יספור את הדיסקים והכוננים הקיימים ותצפין רק את אלה שהם חלק מהרשימה המקודדת הקשיחה שלו - דיסקים D:\, E:\, F:\, G:\, H:\, I:\, וכל הדיסקים קבצים הכלולים ב-C:\Users ובתיקיות המשנה שלו. כדי למנוע גרימת שגיאות מערכת קריטיות במכשיר שעלולות למנוע מהקורבנות אפילו להבחין במתקפת תוכנת הכופר, CatB לא ישפיע על מספר סיומות קבצים ספציפיות - .msi, .exe, .dll, .sys, .iso, כמו גם קובץ NTUSER.DAT. שימו לב ש-CatB לא משנה את שמות הקבצים שהוא מצפין בשום אופן.

סטייה נוספת מהנורמה נצפית באופן שבו תוכנת הכופר של CarB מספקת את שטר הכופר שלה. במקום ליצור קובץ טקסט עם ההודעה הדורשת כופר בכל תיקיה המכילה נתונים נעולים, האיום מצרף את ההודעה שלו לתחילת כל קובץ מוצפן. המשמעות היא שהקורבנות עלולים להיות מבולבלים בהתחלה לגבי הסיבה שהקבצים שלהם נראים פגומים ויוצגו בפני דרישות התוקפים רק כאשר הם מנסים לפתוח את אחד הקבצים המושפעים. בהודעת הכופר נכתב כי CatB Ransomware משתמשת באלגוריתם ההצפנה RAS-2048 וגודל הכופר הנדרש יתבסס על הזמן שלוקח לקורבנות לשלם. הסכומים נעים בין 50 ביטקוין (~800,000$) ל-130 ביטקוין (~2 מיליון דולר). לאחר חמישה ימים, ההאקרים איימו שכל הנתונים המוצפנים יאבדו לצמיתות. ככל הנראה, קורבנות יכולים לשלוח עד 3 קבצים לכתובת האימייל 'catB9991@protonmail.com' כדי לפענח בחינם.

הטקסט המלא של ההערה של CatB Ransomware הוא:

'??? מה קרה???
!!! הקבצים שלך מוצפנים!!!

כל הקבצים שלך מוגנים על ידי הצפנה חזקה עם RSA-2048.
אין תוכנת פענוח ציבורית.

תוכנית ומפתח פרטי, מה המחיר? המחיר תלוי כמה מהר אתה יכול לשלם לנו.

יום אחד: 50 ביטקוין
יומיים: 60 ביטקוין
3 ימים: 90 ביטקוין
4 ימים: 130 ביטקוין
5 ימים: אובדן נתונים לצמיתות!!!!

כתובת Btc: bc1qakuel0s4nyge9rxjylsqdxnn9nvyhc2z6k27gz
!!! לאחר קבלתו, אנו נשלח תוכנית ומפתח פרטי למחלקת ה-IT שלך כבר עכשיו.!!!

פענוח חינם בתור ערבות, אתה יכול לשלוח אלינו עד 3 קבצים מפוענחים בחינם לפני התשלום.
דוא"ל: catB9991@protonmail.com

!!! אל תנסה לפענח את הנתונים שלך באמצעות תוכנת צד שלישי, הדבר עלול לגרום לאובדן נתונים קבוע.!!!
!!! התוכנית שלנו יכולה לתקן את המחשב שלך תוך כמה דקות.!!!'