En ny form av skadlig kod som hittades i en ny IT -incident verkar ha inspirerats av andra stammar som är kända för att skörda sina operatörer enorma ekonomiska belöningar – men är sannolikt amatörernas arbete.
Dubbad BlackByte och upptäckt av Trustwave, anses den Windows-baserade ransomware vara “udda” på grund av några av design- och funktionsbeslut som skapats av dess skapare.
I en uppsättning tekniska råd som publicerades förra veckan (1,2) säger cybersäkerhetsföretaget att skadlig programvara endast riktar sig till system som inte är baserade på ryska eller före detta Sovjetunionens språk-en vanlig trend inom ransomware att vara av ryskt ursprung.
BlackByte har också utnyttjat det som har blivit känt som dubbel-utpressning i detta utrymme: inte bara krypterar och låser skadlig kod system, utan offren står också då inför hotet om att konfidentiell information läcker ut eller säljs online.
Moderna ransomware -operatörer, inklusive Maze, ReEvil, Conti och Babuk, driver läckagewebbplatser på Dark Web för detta ändamål. BlackByte har också lanserat en webbplats, men enligt forskarna är hotet om datafiltrering och läckage grundlöst – eftersom ransomware inte verkar ha den här funktionen i första hand.
Som ett resultat kan fler offer betala efter infektion, även om det inte finns någon verklig risk för att information blir offentlig.
BlackBytes krypteringsprocess avslöjar också att okvalificerade hotaktörer kan vara på jobbet. Skadlig programvara laddar ner och kör samma nyckel för att kryptera filer i AES, snarare än unika nycklar för varje session, till exempel de som vanligtvis används av sofistikerade ransomware -operatörer.
Om nyckeln inte kan laddas ner från sin HTTP -server – gömd i en fil som heter forest.PNG – kraschar ransomware -programmet helt enkelt. En RSA -nyckel används en gång för att kryptera “raw” -nyckeln för att visa en lösenanteckning.
“För att dekryptera en fil behöver man bara ladda ner raw -nyckeln från värden”, säger Trustwave. “Så länge .PNG -filen som den laddade ner förblir densamma kan vi använda samma nyckel för att dekryptera de krypterade filerna.”
Bortsett från denna udda krypteringsprocess använder skadlig programvara en JavaScript -startare som är utformad för att dekryptera den huvudsakliga .NET DLL -nyttolasten.
Ransomware körs i minnet och ett offer-ID tilldelas med hjälp av den sårbara datorns processor-ID och volymserienummer, som sedan hashas och pingas till skadlig programvarans kommando-och-kontroll (C2) -server. Varje process som kan förhindra filkryptering avslutas och SetThreadExecutionState API används för att stoppa maskinen från att gå in i viloläge.
Dessutom rensas volymskuggkopior, Windows -återställningspunkter raderas och nätverksupptäckt är aktiverat. BlackByte har också maskliknande funktioner som liknar dem som används av Ryuk och den kommer att försöka sprida sig över tillgängliga nätverk.
Trustwave har gjort en BlackByte -dekrypterare tillgänglig för nedladdning på GitHub.
Tidigare och relaterad täckning
Nya Python -ransomware riktar sig mot virtuella maskiner, ESXi -hypervisorer för att kryptera diskar
5,2 miljarder dollar i BTC -transaktioner knutna till de tio bästa ransomware -varianterna: US Treasury
Detta är perfekt offer för ransomware, enligt cyberkriminella
Har du ett tips? Hör av dig säkert via WhatsApp | Signal på +447713 025 499 eller senare på Keybase: charlie0
Relaterade ämnen:
Security TV Data Management CXO Data Centers 