Cryptme Ransomware

La pandemia globale colpisce quasi ogni aspetto della nostra vita quotidiana e richiede un cambiamento radicale sia nel lavoro che nella routine domestica. Uno dei settori che è stato costretto ad adattarsi all'uso rapido delle nuove tecnologie è stato il sistema educativo con gli insegnanti che hanno dovuto acquisire rapidamente le competenze necessarie per svolgere le lezioni in un ambiente interamente online. I problemi ei problemi sono garantiti e, a quanto pare, i criminali informatici erano pronti a trarne vantaggio con i ricercatori di Proofpoint che hanno rilevato una campagna ransomware finemente realizzata mirata proprio ai singoli insegnanti.

Gli hacker hanno distribuito e-mail mascherate come inviate dal genitore o tutore di uno studente e presumibilmente consegnando un compito dallo studente. La finzione era che questioni sconosciute avessero impedito allo studente di consegnare il compito nel solito modo. I titoli delle e-mail erano varianti di "Caricamento compito del figlio", "Caricamento del compito non riuscito per [nome dello studente]" o "Caricamento del compito di [nome dello studente] non riuscito", mentre i file allegati contenenti malware erano denominati [Nome dello studente] -assignment.docx "e sono stati inseriti in un file zip" [Nome dello studente] -assignment.zip. "

Un malware personalizzato fornito agli insegnanti

Il malware trovato all'interno degli allegati e-mail ha abusato dell'iniezione di modelli remoti per scaricare un altro documento minaccioso. Se l'utente mirato ha le macro abilitate, apre la strada al download degli eseguibili del malware. Gli hacker dietro la campagna hanno utilizzato un servizio di hosting di codice gratuito chiamato notabug.org per fornire i file eseguibili. Un'altra caratteristica curiosa delle operazioni minacciose è che gli aggressori ricevono un'e-mail o un messaggio SMS quando viene avviato un eseguibile sfruttando un servizio di bug web gratuito chiamato Canarytokens.

Per quanto riguarda il payload principale consegnato alla macchina compromessa, si tratta di una minaccia ransomware personalizzata, il Cryptime Ransomware , che gli hacker hanno scritto nel linguaggio di programmazione Go e lo hanno chiamato "cryptme". Il malware viene fornito come due eseguibili: "ctool.exe" e "etool.exe", uno dei quali è un wrapper necessario per avviare l'altro. I file crittografati dalla minaccia hanno ".cryptme" aggiunto ai nomi dei file originali. La richiesta di riscatto viene fornita come file di testo denominato "About_Your_Files.txt" creato sul desktop dei sistemi compromessi. La minaccia visualizza anche una finestra pop-up con una leggera variazione dello stesso testo.