CatB 랜섬웨어

CatB 랜섬웨어는 기업체를 대상으로 하는 고약한 위협으로 처음에는 랜섬 노트의 유사성으로 인해 Pandora Ransomware 의 변종으로 생각되었습니다. 그러나 둘은 상당히 다릅니다. CatB에는 '실제 컴퓨터'에서 실행을 확인한 다음 DLL을 삭제하고 탐지 회피 목적으로 DLL 하이재킹을 사용하는 안티 VM 기술이 포함되어 있습니다. 이 악성코드는 UPX로 압축되어 안티 VM 검사를 수행하는 'version.dll'과 드롭된 후 실행되는 랜섬웨어 페이로드 'oci.dll'의 두 파일로 구성됩니다.

샌드박스 환경 확인

CatB를 분석한 결과 위협이 VM/샌드박스가 아닌 실제 컴퓨터에서 실행되고 있음을 확인하기 위해 사용하는 세 가지 다른 방법이 밝혀졌습니다. 위협 요소는 프로세서 코어 검사를 수행하고 시스템의 총 사용 가능한 메모리를 확인하고 연결된 하드 드라이브의 크기를 고려합니다.

현재 또는 최신 컴퓨터는 일반적으로 하드웨어 사양이 최소입니다. CatB가 너무 많이 벗어나거나 예상 값보다 낮은 결과를 감지하면 결과를 실제 시스템에서 실행되지 않는다는 신호로 처리합니다. 예를 들어 대부분의 컴퓨터에는 프로세서 코어가 두 개 이상 있으므로 하나만 있으면 의심스러운 것으로 판단됩니다. 물리적 메모리 크기에도 동일하게 적용됩니다. CatB 랜섬웨어는 GlobalMemoryStatusEx API 기능을 활용하여 필요한 정보를 검색하고 반환된 결과에 물리적 메모리가 2GB 미만으로 표시되면 자동으로 닫힙니다. 마지막으로 랜섬웨어는 현재 환경의 하드 드라이브 공간이 50GB 미만이라고 판단되면 활성화되지 않습니다.

DLL 하이재킹 및 지속성

모든 안티 VM 검사를 통과하면 드롭퍼는 계속해서 랜섬웨어 페이로드(oci.dll)를 C:\Windows\System32 폴더에 드롭하고 MSDTC 서비스(Distributed Transaction Coordinator Windows 서비스)의 구성을 수정합니다. 데이터베이스와 웹 서버 간의 트랜잭션 조정을 위해). 수정 사항에는 네트워크 서비스에서 로컬 시스템으로 서비스를 실행하는 계정의 이름 변경, 관리자 권한 부여, 시작 옵션을 요구 시작에서 자동 시작으로 변경하여 시스템을 다시 시작한 후 지속성을 유지하는 것이 포함됩니다.

드로퍼가 필요한 설정을 변경하면 서비스를 시작합니다. 이 서비스는 기본적으로 System32 폴더에서 여러 DLL을 로드하려고 시도합니다. 이를 통해 위협 요소는 불법 DLL(예: oci.dll)을 동일한 디렉터리에 저장하여 손상된 코드를 실행할 수 있습니다.

암호화 루틴 및 몸값 요구

피해자 데이터의 암호화는 CatB 랜섬웨어 페이로드 파일 'oci.dll'이 'msdtc.exe' 프로세스의 일부로 로드되는 순간부터 시작됩니다. 실행 중에 CatB는 보다 일반적인 랜섬웨어 위협과 구별되는 몇 가지 특성을 나타냅니다. 먼저 기존 디스크와 드라이브를 열거하고 하드코딩된 목록(디스크 D:\, E:\, F:\, G:\, H:\, I:\ 및 모든 C:\Users 및 해당 하위 폴더에 포함된 파일. 피해자가 랜섬웨어 공격을 알아채지 못하도록 하는 치명적인 시스템 오류가 장치에 발생하지 않도록 CatB는 .msi, .exe, .dll, .sys, .iso 및 NTUSER.DAT 파일. CatB는 어떤 식으로든 암호화하는 파일의 이름을 변경하지 않습니다.

CarB 랜섬웨어가 랜섬 노트를 전달하는 방식에서 표준과 다른 또 다른 편차가 관찰됩니다. 잠긴 데이터가 포함된 각 폴더에 몸값을 요구하는 메시지가 포함된 텍스트 파일을 생성하는 대신 이 위협 요소는 모든 암호화된 파일의 시작 부분에 메시지를 첨부합니다. 즉, 피해자는 처음에는 파일이 손상된 것처럼 보이는 이유에 대해 혼란스러워할 수 있으며 영향을 받는 파일 중 하나를 열려고 할 때 공격자의 요구 사항만 표시됩니다. 랜섬 노트에는 CatB 랜섬웨어가 RAS-2048 암호화 알고리즘을 사용하며 요구되는 몸값의 크기는 피해자가 지불하는 데 걸리는 시간을 기반으로 한다고 명시되어 있습니다. 금액 범위는 50비트코인(~$800,000)에서 130비트코인(~$2백만)입니다. 5일 후 해커는 모든 암호화된 데이터가 영구적으로 손실될 것이라고 위협했습니다. 분명히 피해자는 'catB9991@protonmail.com' 이메일 주소로 최대 3개의 파일을 무료로 복호화할 수 있습니다.

CatB Ransomware의 메모 전문은 다음과 같습니다.

'??? 무슨일이야???
!!! 파일이 암호화되었습니다!!!

모든 파일은 RSA-2048을 사용한 강력한 암호화로 보호됩니다.
공개 복호화 소프트웨어는 없습니다.

프로그램과 개인키, 가격은? 가격은 당신이 우리에게 얼마나 빨리 지불할 수 있는지에 달려 있습니다.

1일 : 50 비트코인
2일 : 60 비트코인
3일 : 90 비트코인
4일 : 130 비트코인
5일 : 영구적인 데이터 손실!!!!

비트코인 주소: bc1qakuel0s4nyge9rxjylsqdxnn9nvyhc2z6k27gz
!!! 받은 후 프로그램과 개인 키를 지금 바로 IT 부서로 보내드립니다.!!!

무료 복호화 보증으로 결제 전에 최대 3개의 무료 복호화 파일을 보낼 수 있습니다.
이메일: catB9991@protonmail.com

!!! 타사 소프트웨어를 사용하여 데이터를 해독하려고 시도하지 마십시오. 영구적인 데이터 손실이 발생할 수 있습니다.!!!
!!! 우리 프로그램은 몇 분 안에 컴퓨터를 수리할 수 있습니다.!!!'