Cryptme Ransomware

A pandemia global afeta quase todos os aspectos de nossas vidas diárias e exige uma mudança dramática nas rotinas de trabalho e de casa. Um dos setores que foram obrigados a se adaptar ao uso das novas tecnologias rapidamente foi o sistema educacional, com os professores tendo que adquirir rapidamente as habilidades necessárias para realizar as aulas em um ambiente totalmente online. Questões e problemas são garantidos aparecer e, aparentemente, os cibercriminosos estavam prontos para tirar vantagem disso com os pesquisadores da Proofpoint detectando uma campanha de ransomware bem elaborada, voltada precisamente para os professores individuais.

Os hackers distribuíram e-mails que se disfarçaram como sendo enviados pelos pais ou responsáveis de um aluno e supostamente entregando uma tarefa do aluno. O pretexto era que questões desconhecidas haviam impedido o aluno de enviar a tarefa da maneira usual. Os títulos dos e-mails eram variações de 'Upload do trabalho do filho', 'Falha no upload do trabalho para [Nome do aluno]' ou 'Falha no upload do trabalho do [Nome do aluno]', enquanto os arquivos anexados com malware eram chamados de [Nome do aluno] -assignment.docx "e foram colocados dentro de um arquivo zip" [Nome do aluno] -assignment.zip. '

Um Malware Feito sob Medida Entregue aos Professores

O malware encontrado dentro dos anexos de e-mail abusou da injeção de modelo remoto para baixar outro documento ameaçador. Se o usuário-alvo tiver macros habilitadas, ele abre o caminho para o download dos executáveis do malware. Os hackers por trás da campanha usaram um serviço de hospedagem de código gratuito chamado notabug.org para entregar os arquivos executáveis. Outra característica curiosa das operações de ameaça é que os invasores recebem um e-mail ou mensagem SMS quando um executável é iniciado, explorando um serviço gratuito de bug da Web chamado Canarytokens.

Quanto à carga útil principal entregue na máquina comprometida - é uma ameaça de ransomware customizada, o Cryptime Ransomware, que os hackers escreveram na linguagem de programação Go e a chamaram de 'cryptme'. O malware é entregue como dois executáveis - 'ctool.exe' e 'etool.exe', um sendo um invólucro necessário para iniciar o outro. Os arquivos criptografados pela ameaça têm '.cryptme' anexado aos seus nomes de arquivo originais. A nota de resgate é entregue como um arquivo de texto chamado 'About_Your_Files.txt', que é criado na área de trabalho dos sistemas comprometidos. Uma janela pop-up com uma ligeira variação do mesmo texto também é exibida pela ameaça.