En ny form for malware fundet i en nylig it -hændelse ser ud til at have været inspireret af andre stammer, der vides at høste deres operatører enorme økonomiske gevinster – men er sandsynligvis amatørs arbejde.
Kaldet BlackByte og opdaget af Trustwave, anses den Windows-baserede ransomware som “underlig” på grund af nogle af design- og funktionsbeslutningerne truffet af dens skabere.
I et sæt tekniske råd, der blev offentliggjort i sidste uge (1,2), siger cybersikkerhedsfirmaet, at malware kun er målrettet mod systemer, der ikke er baseret på russiske eller tidligere Sovjetunioners sprog-en almindelig tendens i ransomware, der menes at være af russisk oprindelse.
BlackByte har også draget fordel af det, der er blevet kendt som dobbelt-afpresning i dette rum: malware krypterer og låser ikke kun systemer, men ofre står da også over for truslen om, at fortrolige oplysninger lækker eller sælges online.
Moderne ransomware -operatører, herunder Maze, ReEvil, Conti og Babuk, driver lækagewebsteder på Dark Web til dette formål. BlackByte har også lanceret et websted, men ifølge forskerne er truslen om dataeksfiltrering og lækager grundløs – da ransomware ikke ser ud til at have denne funktionalitet i første omgang.
Som følge heraf kan flere ofre betale sig efter infektion, selvom der ikke er nogen reel risiko for, at information bliver offentlig.
BlackBytes krypteringsproces afslører også, at ufaglærte trusselsaktører kan være på arbejde. Malware downloader og eksekverer den samme nøgle til kryptering af filer i AES, frem for unikke nøgler til hver session, f.eks. Dem, der normalt bruges af sofistikerede ransomware -operatører.
Hvis nøglen ikke kan downloades fra dens HTTP -server – skjult i en fil kaldet forest.PNG – går ransomware -programmet ganske enkelt ned. En RSA -nøgle bruges en gang til at kryptere 'rå' nøglen for at vise en løsesum.
“For at dekryptere en fil behøver man kun at rå nøgle downloades fra værten,” siger Trustwave. “Så længe den .PNG -fil, den downloadede, forbliver den samme, kan vi bruge den samme nøgle til at dekryptere de krypterede filer.”
Bortset fra denne ulige krypteringsproces anvender malware en JavaScript -launcher, der er designet til at dekryptere den primære .NET DLL -nyttelast.
Ransomware eksekveres i hukommelsen, og et offer-ID tildeles ved hjælp af den sårbare pc's processor-id og volumen serienummer, som derefter hash og pinges til malware's kommando-og-kontrol (C2) server. Enhver proces, der kan forhindre filkryptering, afsluttes, og SetThreadExecutionState API bruges til at stoppe maskinen fra at gå i dvaletilstand.
Derudover tørres volumenskygge kopier, Windows gendannelsespunkter slettes, og netværksregistrering er aktiveret. BlackByte har også ormlignende funktioner, der ligner dem, der anvendes af Ryuk, og den vil forsøge at sprede sig på tværs af tilgængelige netværk.
Trustwave har gjort en BlackByte -dekrypter tilgængelig til download på GitHub.
Tidligere og relateret dækning
Ny Python -ransomware er målrettet mod virtuelle maskiner, ESXi -hypervisorer til at kryptere diske
5,2 milliarder dollars i BTC -transaktioner knyttet til top 10 ransomware -varianter: US Treasury
Dette er perfekt ransomware -offer, ifølge cyberkriminelle
Har du et tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499 eller derover på Keybase: charlie0
Relaterede emner:
Security TV Data Management CXO Data Centers 