CatB-ransomware
De CatB-ransomware is een akelige bedreiging die zich richt op bedrijfsentiteiten en waarvan aanvankelijk werd gedacht dat het een variant van Pandora Ransomware was vanwege overeenkomsten tussen hun losgeldbriefjes. De twee zijn echter behoorlijk verschillend. CatB bevat anti-VM-technieken voor het verifiëren van de uitvoering op een 'echte machine', gevolgd door het laten vallen van een DLL en het gebruik van DLL-kaping voor opsporingsontduiking. De malware bestaat uit twee bestanden: 'version.dll', dat vol zit met UPX en verantwoordelijk is voor het uitvoeren van de anti-VM-controles, en 'oci.dll', de ransomware-payload, die wordt uitgevoerd nadat hij is neergezet.
Inhoudsopgave
Controleren op sandbox-omgevingen
Analyse van CatB heeft drie verschillende methoden blootgelegd die door de dreiging worden gebruikt om ervoor te zorgen dat deze wordt uitgevoerd op een echte computer en niet in een VM/sandbox. De dreiging voert een processorkerncontrole uit, verifieert het totale beschikbare geheugen van het systeem en houdt rekening met de grootte van de aangesloten harde schijf.
Huidige of moderne computers hebben doorgaans minimale hardwarespecificaties. Als CatB resultaten detecteert die te veel afwijken of onder een verwachte waarde liggen, zal het de resultaten behandelen als een teken dat het niet op een echt systeem wordt uitgevoerd. De meeste computers hebben bijvoorbeeld ten minste twee processorkernen, dus de aanwezigheid van slechts één processorkern wordt als verdacht beoordeeld. Hetzelfde geldt voor de grootte van het fysieke geheugen. De CatB Ransomware maakt gebruik van de GlobalMemoryStatusEx API-functie om de benodigde informatie op te halen en sluit zichzelf als de geretourneerde resultaten minder dan 2 GB fysiek geheugen laten zien. Ten slotte wordt de ransomware niet geactiveerd als wordt vastgesteld dat de huidige omgeving minder dan 50 GB aan harde schijfruimte heeft.
DLL-kaping en persistentie
Als alle anti-VM-controles slagen, zal de dropper doorgaan met het neerzetten van de payload van de ransomware (oci.dll) in de map C:\Windows\System32 en de configuraties wijzigen van de MSDTC-service (de Distributed Transaction Coordinator Windows-service, die verantwoordelijk is voor het coördineren van transacties tussen databases en webservers). De wijzigingen omvatten het wijzigen van de naam van het account waarop de service wordt uitgevoerd van Network Service naar Local System, het verlenen van beheerdersrechten en het wijzigen van de startoptie van Demand start naar Auto start om de persistentie te behouden na een systeemherstart.
Zodra de dropper de nodige instellingen heeft gewijzigd, wordt de service gestart. Deze service probeert standaard meerdere DLL's uit de map System32 te laden. Hierdoor kan de dreiging een onwettig DLL-bestand (zoals oci.dll) in dezelfde map plaatsen, waardoor het corrupte code kan uitvoeren.
Versleutelingsroutine en losgeldeisen
De versleuteling van de gegevens van het slachtoffer begint op het moment dat het CatB Ransomware-payloadbestand 'oci.dll' wordt geladen als onderdeel van het 'msdtc.exe'-proces. Tijdens de uitvoering vertoont CatB verschillende kenmerken die het onderscheiden van de meer gebruikelijke ransomware-bedreigingen. Eerst zal het de bestaande schijven en stations opsommen en alleen die versleutelen die deel uitmaken van de hardgecodeerde lijst - Schijven D:\, E:\, F:\, G:\, H:\, I:\ en alle bestanden in C:\Users en zijn submappen. Om te voorkomen dat kritieke systeemfouten op het apparaat worden veroorzaakt waardoor de slachtoffers de ransomware-aanval niet eens opmerken, heeft CatB geen invloed op verschillende specifieke bestandsextensies - .msi, .exe, .dll, .sys, .iso, evenals de NTUSER.DAT-bestand. Merk op dat CatB de namen van de bestanden die het versleutelt op geen enkele manier verandert.
Een andere afwijking van de norm wordt waargenomen in de manier waarop de CarB Ransomware zijn losgeldbrief aflevert. In plaats van een tekstbestand te maken met het bericht waarin om losgeld wordt gevraagd in elke map met vergrendelde gegevens, voegt de dreiging zijn bericht toe aan het begin van elk gecodeerd bestand. Dit betekent dat slachtoffers in eerste instantie in de war kunnen raken over de reden waarom hun bestanden beschadigd lijken en dat ze alleen de eisen van de aanvallers te zien krijgen wanneer ze proberen een van de getroffen bestanden te openen. In de losgeldnota staat dat CatB Ransomware het RAS-2048-coderingsalgoritme gebruikt en dat de hoogte van het gevraagde losgeld gebaseerd zal zijn op de tijd die de slachtoffers nodig hebben om te betalen. De bedragen variëren van 50 Bitcoin (~ $ 800.000) tot 130 Bitcoin (~ $ 2 miljoen). Na vijf dagen dreigden de hackers dat alle versleutelde gegevens definitief verloren zouden gaan. Blijkbaar kunnen slachtoffers maximaal 3 bestanden naar het e-mailadres 'catB9991@protonmail.com' sturen om gratis te worden gedecodeerd.
De volledige tekst van de opmerking van CatB Ransomware is:
'??? Wat is er gebeurd???
!!! Uw bestanden zijn versleuteld !!!Al uw bestanden worden beschermd door sterke encryptie met RSA-2048.
Er is geen openbare decoderingssoftware.Programma en privésleutel, wat is de prijs? De prijs is afhankelijk van hoe snel u aan ons kunt betalen.
1 dag : 50 Bitcoin
2 dagen : 60 Bitcoin
3 dagen: 90 Bitcoin
4 dagen: 130 Bitcoin
5 dagen: permanent gegevensverlies !!!!Btc-adres: bc1qakuel0s4nyge9rxjylsqdxnn9nvyhc2z6k27gz
!!! Na ontvangst sturen we het programma en de privésleutel nu naar uw IT-afdeling.!!!Gratis decodering Als garantie kunt u ons vóór betaling tot 3 gratis gedecodeerde bestanden sturen.
e-mail: catB9991@protonmail.com!!! Probeer uw gegevens niet te decoderen met behulp van software van derden, dit kan leiden tot permanent gegevensverlies.!!!
!!! Ons programma kan uw computer binnen enkele minuten repareren.!!!'
