CatB Ransomware
O CatB Ransomware é uma ameaça desagradável que visa entidades corporativas e, inicialmente, pensou-se que ele era uma variante do Pandora Ransomware devido a semelhanças entre suas notas de resgate. No entanto, os dois são bastante distintos. O CatB contém técnicas anti-VM para verificar a execução em uma 'máquina real', seguida pela eliminação de uma DLL e uso do sequestro de DLL para fins de evasão de detecção. O malware consiste em dois arquivos: 'version.dll', que é compactado com UPX e é responsável por realizar as verificações anti-VM, e 'oci.dll', a carga útil do ransomware, que é executada após ser descartada.
Índice
Verificando Ambientes de Sandbox
A análise do CatB revelou três métodos diferentes utilizados pela ameaça para garantir que ele esteja sendo executado em um computador real e não em uma VM/sandbox. A ameaça executará uma verificação do núcleo do processador, verificará a memória total disponível do sistema e considerará o tamanho do disco rígido conectado.
Os computadores atuais ou modernos geralmente têm especificações mínimas de hardware. Se o CatB detectar resultados muito divergentes ou abaixo de um valor esperado, ele tratará os resultados como um sinal de que não está sendo executado em um sistema real. Por exemplo, a maioria dos computadores terá pelo menos dois núcleos de processador, portanto, a presença de apenas um será considerada suspeita. O mesmo se aplica ao tamanho da memória física. O CatB Ransomware aproveita a função da API GlobalMemoryStatusEx para recuperar as informações necessárias e se fechará se os resultados retornados mostrarem menos de 2 GB de memória física. Por fim, o ransomware não será ativado se determinar que seu ambiente atual tem menos de 50 GB de espaço no disco rígido.
Sequestro do DLL e Persistência
Se todas as verificações anti-VM forem aprovadas, o dropper irá colocar a carga útil do ransomware (oci.dll) na pasta C:\Windows\System32 e modificar as configurações do serviço MSDTC (o serviço Distributed Transaction Coordinator do Windows, que é responsável para coordenar transações entre bancos de dados e servidores Web). As modificações incluem a alteração do nome da conta que executa o serviço de Serviço de Rede para Sistema Local, concedendo-lhe direitos de administrador e alterando sua opção de início de Demand Start para Auto Start para manter a persistência após a reinicialização do sistema.
Depois que o conta-gotas alterou as configurações necessárias, ele inicia o serviço. Por padrão, este serviço tentará carregar várias DLLs da pasta System32. Isso permite que a ameaça deposite uma DLL ilegítima (como oci.dll) no mesmo diretório, permitindo que ela execute um código corrompido.
Rotina de Criptografia e Pedidos de Resgate
A criptografia dos dados da vítima começa no momento em que o arquivo de carga do CatB Ransomware, 'oci.dll', é carregado como parte do processo 'msdtc.exe'. Durante sua execução, o CatB exibe várias características que o diferenciam das ameaças de ransomware mais comuns. Primeiro, ele enumerará os discos e unidades existentes e criptografará apenas aqueles que fazem parte de sua lista codificada - Discos D:\, E:\, F:\, G:\, H:\, I:\ e todos os arquivos contidos em C:\Users e suas subpastas. Para evitar causar erros críticos de sistema no dispositivo que possam impedir que as vítimas percebam o ataque de ransomware, o CatB não afetará várias extensões de arquivo específicas - .msi, .exe, .dll, .sys, .iso, bem como o Arquivo NTUSER.DAT. Observe que o CatB não altera os nomes dos arquivos que ele criptografa de forma alguma.
Outro desvio da norma é observado na forma como o CarB Ransomware entrega sua nota de resgate. Em vez de criar um arquivo de texto com a mensagem exigindo resgate em cada pasta contendo dados bloqueados, a ameaça anexa sua mensagem ao início de cada arquivo criptografado. Isso significa que as vítimas podem inicialmente ficar confusas sobre por que seus arquivos parecem corrompidos e só serão apresentadas às demandas dos invasores ao tentar abrir um dos arquivos afetados. A nota de resgate afirma que o CatB Ransomware usa o algoritmo de criptografia RAS-2048 e o tamanho do resgate exigido será baseado no tempo que as vítimas levam para pagar. As somas variam de 50 Bitcoins (~$800.000) a 130 Bitcoins (~$2 milhões). Após cinco dias, os hackers ameaçaram que todos os dados criptografados seriam perdidos permanentemente. Aparentemente, as vítimas podem enviar até 3 arquivos para o endereço de e-mail 'catB9991@protonmail.com' para serem descriptografados gratuitamente.
O texto completo da nota do CatB Ransomware é:
'??? O que aconteceu???
!!! Seus arquivos são criptografados !!!Todos os seus arquivos são protegidos por criptografia forte com RSA-2048.
Não há software de descriptografia público.Programa e chave privada, Qual é o preço? O preço depende de quão rápido você pode pagar para nós.
1 dia: 50 Bitcoins
2 dias: 60 Bitcoins
3 dias: 90 Bitcoins
4 dias: 130 Bitcoins
5 dias: perda permanente de dados!!!!Endereço Btc: bc1qakuel0s4nyge9rxjylsqdxnn9nvyhc2z6k27gz
!!! Após o recebimento, enviaremos o programa e a chave privada para o seu departamento de TI agora mesmo.!!!Descriptografia gratuita Como garantia, você pode nos enviar até 3 arquivos descriptografados gratuitamente antes do pagamento.
e-mail: catB9991@protonmail.com!!! Não tente descriptografar seus dados usando software de terceiros, isso pode resultar em perda permanente de dados.!!!
!!! Nosso programa pode reparar seu computador em poucos minutos.!!!'