Cryptme Ransomware
Globalna pandemia wpływa na prawie każdy aspekt naszego codziennego życia i wymaga radykalnej zmiany zarówno w miejscu pracy, jak iw domu. Jednym z sektorów, które zostały zmuszone do szybkiego przystosowania się do korzystania z nowych technologii, był system edukacji, w którym nauczyciele musieli szybko zdobywać umiejętności potrzebne do prowadzenia lekcji w całkowicie online środowisku. Gwarantujemy, że pojawią się problemy i problemy, i najwyraźniej cyberprzestępcy byli gotowi to wykorzystać, a naukowcy z Proofpoint wykryli precyzyjnie spreparowaną kampanię ransomware skierowaną do poszczególnych nauczycieli.
Hakerzy rozpowszechniali e-maile udające wysłane przez rodzica lub opiekuna ucznia i rzekomo dostarczające zadanie od ucznia. Udawano, że nieznane kwestie uniemożliwiły studentowi złożenie zadania w zwykły sposób. Tytuły e-maili były odmianami „Przesyłanie zadania syna”, „Niepowodzenie przesyłania zadania dla [imię i nazwisko ucznia]” lub „Przesyłanie zadania [imię i nazwisko ucznia] nie powiodło się”, natomiast załączone pliki ze złośliwym oprogramowaniem nosiły nazwę [Imię ucznia] -assignment.docx ”i zostały umieszczone w pliku zip„ [nazwa ucznia] -assignment.zip ”.
Spreparowane złośliwe oprogramowanie dostarczane nauczycielom
Złośliwe oprogramowanie znalezione w załącznikach do wiadomości e-mail wykorzystało zdalne wstrzyknięcie szablonu w celu pobrania innego dokumentu zawierającego groźby. Jeśli docelowy użytkownik ma włączone makra, otwiera to drogę do pobrania plików wykonywalnych złośliwego oprogramowania. Hakerzy stojący za kampanią wykorzystali bezpłatną usługę hostingu kodu o nazwie notabug.org do dostarczania plików wykonywalnych. Inną ciekawą cechą zagrażających operacji jest to, że atakujący otrzymują wiadomość e-mail lub SMS, gdy plik wykonywalny jest uruchamiany, wykorzystując bezpłatną usługę błędów sieci Web o nazwie Canarytokens.
Jeśli chodzi o główny ładunek dostarczony do zhakowanej maszyny - jest to specjalnie stworzone zagrożenie ransomware, Cryptime Ransomware , które hakerzy napisali w języku programowania Go i nazwali go „cryptme”. Złośliwe oprogramowanie jest dostarczane jako dwa pliki wykonywalne - „ctool.exe” i „etool.exe”, przy czym jeden jest opakowaniem potrzebnym do zainicjowania drugiego. Pliki zaszyfrowane przez zagrożenie mają dołączony „.cryptme” do ich oryginalnych nazw. Żądanie okupu jest dostarczane jako plik tekstowy o nazwie „About_Your_Files.txt”, który jest tworzony na pulpicie zainfekowanych systemów. Zagrożenie wyświetla również wyskakujące okienko z niewielkimi zmianami tego samego tekstu.
