CatB ransomware

Il ransomware CatB è una brutta minaccia che prende di mira le entità aziendali e inizialmente si pensava fosse una variante di Pandora Ransomware a causa delle somiglianze tra le loro note di riscatto. Tuttavia, i due sono abbastanza distinti. CatB contiene tecniche anti-VM per verificare l'esecuzione su una "macchina reale", seguita dall'eliminazione di una DLL e dall'utilizzo del dirottamento della DLL per scopi di evasione del rilevamento. Il malware è costituito da due file: "version.dll", che è pieno di UPX ed è responsabile dell'esecuzione dei controlli anti-VM, e "oci.dll", il payload del ransomware, che viene eseguito dopo essere stato eliminato.

Verifica degli ambienti sandbox

L'analisi di CatB ha scoperto tre diversi metodi utilizzati dalla minaccia per garantire che venga eseguita su un computer reale e non in una VM/sandbox. La minaccia eseguirà un controllo del core del processore, verificherà la memoria totale disponibile del sistema e prenderà in considerazione le dimensioni del disco rigido connesso.

I computer attuali o moderni in genere hanno specifiche hardware minime. Se CatB rileva risultati che si discostano troppo o sono al di sotto di un valore previsto, tratterà i risultati come un segno che non viene eseguito su un sistema reale. Ad esempio, la maggior parte dei computer avrà almeno due core del processore, quindi la presenza di uno solo sarà giudicata sospetta. Lo stesso vale per la dimensione della memoria fisica. CatB Ransomware sfrutta la funzione API GlobalMemoryStatusEx per recuperare le informazioni necessarie e si chiuderà se i risultati restituiti mostrano meno di 2 GB di memoria fisica. Infine, il ransomware non si attiverà se determina che il suo ambiente attuale ha meno di 50 GB di spazio su disco rigido.

Dirottamento e persistenza di DLL

Se tutti i controlli anti-VM vengono superati, il dropper procederà a rilasciare il payload del ransomware (oci.dll) nella cartella C:\Windows\System32 e a modificare le configurazioni del servizio MSDTC (il servizio Windows Distributed Transaction Coordinator, responsabile per il coordinamento delle transazioni tra database e server Web). Le modifiche includono la modifica del nome dell'account che esegue il servizio da Servizio di rete a Sistema locale, la concessione dei diritti di amministratore e la modifica dell'opzione di avvio da Avvio su richiesta ad Avvio automatico per mantenere la persistenza dopo il riavvio del sistema.

Una volta che il contagocce ha modificato le impostazioni necessarie, avvia il servizio. Questo servizio tenterà per impostazione predefinita di caricare più DLL dalla cartella System32. Ciò consente alla minaccia di depositare una DLL illegittima (come oci.dll) nella stessa directory, consentendole di eseguire codice danneggiato.

Routine di crittografia e richieste di riscatto

La crittografia dei dati della vittima inizia nel momento in cui il file di payload CatB Ransomware 'oci.dll' viene caricato come parte del processo 'msdtc.exe'. Durante la sua esecuzione, CatB mostra diverse caratteristiche che lo distinguono dalle più comuni minacce ransomware. Innanzitutto, enumera i dischi e le unità esistenti e crittografa solo quelli che fanno parte del suo elenco hardcoded - Dischi D:\, E:\, F:\, G:\, H:\, I:\ e tutti i file contenuti in C:\Users e nelle sue sottocartelle. Per evitare di causare errori di sistema critici sul dispositivo che potrebbero impedire alle vittime di notare l'attacco ransomware, CatB non avrà alcun impatto su diverse estensioni di file specifiche: .msi, .exe, .dll, .sys, .iso, così come il File NTUSER.DAT. Si noti che CatB non modifica in alcun modo i nomi dei file che crittografa.

Un'altra deviazione dalla norma si osserva nel modo in cui CarB Ransomware consegna la sua richiesta di riscatto. Invece di creare un file di testo con il messaggio di richiesta di riscatto in ogni cartella contenente dati bloccati, la minaccia allega il suo messaggio all'inizio di ogni file crittografato. Ciò significa che le vittime potrebbero inizialmente essere confuse sul motivo per cui i loro file appaiono danneggiati e verranno presentate solo con le richieste degli aggressori quando tentano di aprire uno dei file interessati. La nota di riscatto afferma che CatB Ransomware utilizza l'algoritmo di crittografia RAS-2048 e la dimensione del riscatto richiesto si baserà sul tempo necessario alle vittime per pagare. Le somme vanno da 50 Bitcoin (~$800.000) a 130 Bitcoin (~$2 milioni). Dopo cinque giorni, gli hacker hanno minacciato che tutti i dati crittografati sarebbero stati persi definitivamente. Apparentemente, le vittime possono inviare fino a 3 file all'indirizzo e-mail "catB9991@protonmail.com" per essere decrittografati gratuitamente.

Il testo completo della nota di CatB Ransomware è:

'??? Cos'è successo???
!!! I tuoi file sono criptati!!!

Tutti i tuoi file sono protetti da una forte crittografia con RSA-2048.
Non esiste un software di decrittazione pubblico.

Programma e chiave privata, Qual è il prezzo? Il prezzo dipende da quanto velocemente puoi pagarci.

1 giorno : 50 Bitcoin
2 giorni : 60 Bitcoin
3 giorni : 90 Bitcoin
4 giorno : 130 Bitcoin
5 giorni: perdita permanente dei dati!!!!

Indirizzo Btc: bc1qakuel0s4nyge9rxjylsqdxnn9nvyhc2z6k27gz
!!! Dopo averlo ricevuto, invieremo immediatamente il programma e la chiave privata al tuo reparto IT.!!!

Decrittazione gratuita Come garanzia, puoi inviarci fino a 3 file decrittati gratuiti prima del pagamento.
e-mail: catB9991@protonmail.com

!!! Non tentare di decrittografare i tuoi dati utilizzando software di terze parti, ciò potrebbe comportare la perdita permanente dei dati.!!!
!!! Il nostro programma può riparare il tuo computer in pochi minuti.!!!'