Ironcat Ransomware

De Ironcat Ransomware is een crypto-locker-bedreiging geschreven in de GO-taal en gedetecteerd als operationeel in het wild. Aanvankelijk zijn onderzoekers geneigd om de dreiging in verband te brengen met andere bestaande ransomwarefamilies, zoals de Sodinokibi Ransomware of de REvil Ransomware- stammen vanwege overeenkomsten in de losgeldbrief. Het blijkt dat dit niet het geval is, en Ironcat is een unieke malware die blijkt uit een analyse van de dreiging die door de auteur zelf is vrijgegeven.

Blijkbaar was de Ironcat Ransomware nooit bedoeld als een live bedreiging. De binaire bestanden zijn gemaakt met het enige doel om te worden gebruikt als trainingshulpmiddelen die alleen worden ingezet op een gesloten netwerk, waarbij de omgevingen worden gewist na het einde van de oefeningen; ze mochten nooit openbaar worden gemaakt. De manier waarop ze aan de beperkingen van hun beoogde testsystemen ontsnapten, volgens de ontwikkelaar van Ironcat, is via een student die de binaire bestanden heeft verwijderd en deze vervolgens heeft geüpload naar VirusTotal.

Ironcat wordt een volwaardige malwarebedreiging en kan inderdaad de bestanden versleutelen die zijn opgeslagen op het computersysteem van de gecompromitteerde gebruiker. Voordat het schadelijke proces kan worden gestart, moet de bedreiging echter worden uitgevoerd als beheerder en zullen bepaalde acties mislukken als deze met gebruikersrechten worden uitgevoerd. Ironcat zelf is niet uitgerust met methoden voor escalatie van privileges of bypass-mechanismen. Een andere drempel die door de dreiging moet worden overwonnen, is het tot stand brengen van een verbinding door een pakket te verzenden naar Fakebook.com, een website voor een trainingsomgeving.

Als alles klopt, gaat Ironcat door met het versleutelen van bestanden in de beoogde mappen en voegt '.encrypted' toe aan de oorspronkelijke bestandsnaam van elk bestand. Hierdoor wordt ook het geregistreerde bestandstype gewijzigd in 'ENCRYPTED'. Het losgeldbriefje, dat in de originele versie van Ironcat een bijna identieke kopie van REevil was, wordt in elke map met gecodeerde gegevens gedropt als een tekstbestand met de naam 'pay_the_piper.txt'.

Naast zijn coderingsmogelijkheden, heeft de Ironcat Ransomware vier batchbestanden in de map ' C: \ Windows ' laten vallen:

• Chtes.bat - start een admin cmd.exe-console door vijf keer op een willekeurige toets te drukken op het aanmeldingsscherm
• Netlogin.bat - maakt een registersleutel die admin cmd.exe start wanneer ultiman.exe wordt gestart
• Shadow.bat - verwijdert de Volume Shadow Service-kopieën van de standaard Windows-back- upservice met de opdracht ' cmd / C vssadmin delete shadows / all '
• Mssupdate.bat - verwijdert alle Windows-gebeurtenislogboeken

De auteur van Ironcat heeft elk getroffen slachtoffer ook manieren geboden om te proberen hun getroffen gegevens te herstellen. De ransomware moet op vrijwel dezelfde manier worden uitgevoerd, maar dit keer met een decoderingsfunctie . Hetzelfde wachtwoord dat werd gebruikt voor de codering, moet worden gebruikt voor de decodering, dus de gebruikers moeten het verkrijgen. De auteur van de binaire bestanden biedt drie mogelijke manieren, hoewel er enkele kanttekeningen zijn. Leg eerst het HTTP POST-verzoek vast dat de met base64 gecodeerde gegevens bevat en keer de codering om, wat vereist dat een pakketopnameservice tot stand is gebracht voordat Ironcat werd uitgevoerd. Anders bevat de invoer van het Windows-gebeurtenisbeveiligingslogboek de opdrachtregel die wordt gebruikt om het binaire bestand te starten als het niet is gewist. Ten slotte kan conhost.exe worden gebruikt om toegang te krijgen tot het consolevenster waarin het binaire bestand oorspronkelijk werd uitgevoerd. Hierdoor kan de gebruiker het commando en het wachtwoord vermelden dat is gebruikt om de codering uit te voeren via het ' doskey / history'- commando. Om deze methode te laten werken, moet de aanvaller de conhost.exe hebben verlaten en moeten de slachtoffers inloggen op dezelfde sessie.