Cryptme Ransomware

Globalna pandemija utječe na gotovo svaki aspekt našeg svakodnevnog života i zahtijeva dramatične promjene u rutinama na radnom mjestu i u kući. Jedan od sektora koji je bio prisiljen brzo se prilagoditi korištenju novih tehnologija bio je obrazovni sustav s učiteljima koji su morali brzo steći vještine potrebne za izvođenje nastave u potpuno internetskom okruženju. Problemi i problemi zajamčeno će se pojaviti, a očito su ih cyber kriminalci bili spremni iskoristiti s istraživačima iz Proofpoint-a koji su otkrili fino osmišljenu ransomware kampanju koja je bila usmjerena na pojedine učitelje.

Hakeri su distribuirali e-mailove koji su se maskirali da su poslani od roditelja ili skrbnika učenika i da navodno dostavljaju zadatak od učenika. Pretvarala se da su nepoznata pitanja spriječila učenika da preda zadatak na uobičajeni način. Naslovi e-adresa bile su inačice "Učitavanje zadatka sina", "Neuspjeh u prijenosu zadatka za [Ime studenta]" ili "Učenje zadatka [Ime učenika] nije uspjelo", dok su priložene datoteke sa zlonamernim softverom nazvane [Ime učenika] -assignment.docx "i smješteni su u zip datoteku" [Ime učenika] -assignment.zip. '

Prilagođeni malver isporučen učiteljima

Zlonamjerni softver pronađen u privitcima e-pošte zloupotrijebio je ubrizgavanje udaljenog predloška kako bi preuzeo drugi prijeteći dokument. Ako ciljani korisnik ima omogućene makronaredbe, to otvara put za preuzimanje izvršnih datoteka zlonamjernog softvera. Hakeri iza kampanje koristili su besplatnu uslugu hostinga koda pod nazivom notabug.org za isporuku izvršnih datoteka. Još jedna zanimljiva karakteristika prijetećih operacija je da napadači dobivaju e-poštu ili SMS poruku kada se pokreće izvršna datoteka iskorištavanjem besplatne usluge web bugova nazvane Canarytokens.

Što se tiče glavnog korisnog tereta isporučenog na kompromitirani stroj - to je prijetnja ransomware softvera, Cryptime Ransomware , koju su hakeri napisali na programskom jeziku Go i nazvali je "cryptme". Zlonamjerni softver isporučuje se u obliku dvije izvršne datoteke - 'ctool.exe' i 'etool.exe', pri čemu je jedan omot potreban za pokretanje drugog. Datoteke šifrirane prijetnjom dodale su '.cryptme' izvornim imenima datoteka. Napomena o otkupnini isporučuje se u obliku tekstualne datoteke pod nazivom 'About_Your_Files.txt' koja se kreira na radnoj površini ugroženih sustava. Prijetnja prikazuje i skočni prozor s blagom varijacijom istog teksta.