Cryptme Ransomware

Cryptme Ransomware Beschrijving

De wereldwijde pandemie beïnvloedt bijna elk aspect van ons dagelijks leven en vereist een ingrijpende verandering op het werk en thuis. Een van de sectoren die zich snel moesten aanpassen aan het gebruik van nieuwe technologieën, was het onderwijssysteem waarbij leerkrachten snel de vaardigheden moesten verwerven die nodig zijn om lessen te geven in een volledig online omgeving. Er zullen gegarandeerd problemen en problemen opduiken, en blijkbaar waren cybercriminelen bereid om hiervan te profiteren toen de onderzoekers van Proofpoint een zorgvuldig ontworpen ransomwarecampagne ontdekten die precies op individuele leraren was gericht.

De hackers verspreidden e-mails die zich voordeden als verzonden door de ouder of voogd van een leerling en zogenaamd een opdracht van de leerling afleverden. Het voorwendsel was dat onbekende problemen de student ervan hadden weerhouden de opdracht op de gebruikelijke manier in te leveren. De titels van de e-mails waren variaties op 'Son's Assignment Upload', 'Assignment Upload Failure for [Student's Name]' of '[Student's Name]' Assignment Upload Failed ', terwijl de bijgevoegde malware-geregen bestanden de naam [Student's Name] kregen. -assignment.docx "en werden in een zip-bestand" [Naam student] -assignment.zip geplaatst. '

Een op maat gemaakte malware die aan docenten wordt geleverd

De malware die in de e-mailbijlagen werd aangetroffen, misbruikte de externe sjablooninjectie om een ander bedreigend document te downloaden. Als de beoogde gebruiker macro's heeft ingeschakeld, wordt de weg geopend voor het downloaden van de malware-uitvoerbare bestanden. De hackers achter de campagne gebruikten een gratis code-hostingservice genaamd notabug.org om de uitvoerbare bestanden te bezorgen. Een ander merkwaardig kenmerk van de bedreigende operaties is dat de aanvallers een e-mail of sms-bericht ontvangen wanneer een uitvoerbaar bestand wordt gestart door gebruik te maken van een gratis webbug-service genaamd Canarytokens.

Wat betreft de belangrijkste payload die op de gecompromitteerde machine wordt afgeleverd - het is een op maat gemaakte ransomware-bedreiging, de Cryptime Ransomware , die de hackers in de programmeertaal Go schreven en het 'cryptme' noemden. De malware wordt geleverd als twee uitvoerbare bestanden - 'ctool.exe' en 'etool.exe', waarvan de ene een wrapper is die nodig is om de andere te starten. Bestanden die door de dreiging zijn versleuteld, hebben '.cryptme' toegevoegd aan hun oorspronkelijke bestandsnamen. De losgeldbrief wordt afgeleverd als een tekstbestand met de naam 'About_Your_Files.txt' dat wordt aangemaakt op het bureaublad van de gecompromitteerde systemen. Een pop-upvenster met een kleine variatie van dezelfde tekst wordt ook weergegeven door de dreiging.