En ny form for skadelig programvare som ble funnet i en nylig IT -hendelse ser ut til å ha blitt inspirert av andre stammer som er kjent for å høste sine operatører enorme økonomiske fordeler – men er sannsynligvis amatørs arbeid.
Kalt BlackByte og oppdaget av Trustwave, regnes den Windows-baserte ransomware som “merkelig” på grunn av noen av design- og funksjonsbeslutningene som er tatt av skaperne.
I et sett med tekniske råd som ble publisert forrige uke (1,2), sier nettsikkerhetsfirmaet at skadelig programvare bare er rettet mot systemer som ikke er basert på russiske eller tidligere Sovjetunionen-en vanlig trend i ransomware antatt å være av russisk opprinnelse.
BlackByte har også benyttet seg av det som har blitt kjent som dobbelt-utpressing i dette rommet: ikke bare krypterer og låser skadelig programvare, men ofre blir også da møtt med trusselen om at konfidensiell informasjon lekker eller selges på nettet.
Moderne ransomware -operatører, inkludert Maze, ReEvil, Conti og Babuk, driver lekkasjenettsteder på Dark Web for dette formålet. BlackByte har også lansert et nettsted, men ifølge forskerne er trusselen om dataeksfiltrering og lekkasjer grunnløs – ettersom ransomware ikke ser ut til å ha denne funksjonaliteten i utgangspunktet.
Som et resultat kan flere ofre betale seg etter infeksjon, selv om det ikke er noen faktisk risiko for at informasjon blir offentlig.
BlackBytes krypteringsprosess avslører også at ufaglærte trusselaktører kan være på jobb. Den skadelige programvaren laster ned og kjører den samme nøkkelen for å kryptere filer i AES, i stedet for unike nøkler for hver økt, for eksempel de som vanligvis brukes av sofistikerte ransomware -operatører.
Hvis nøkkelen ikke kan lastes ned fra HTTP -serveren – skjult i en fil som kalles forest.PNG – krasjer ransomware -programmet rett og slett. En RSA -nøkkel brukes en gang, for å kryptere “rå” -nøkkelen for å vise et løsesum.
“For å dekryptere en fil trenger man bare at raw -nøkkelen kan lastes ned fra verten,” sier Trustwave. “Så lenge .PNG -filen den lastet ned, forblir den samme, kan vi bruke den samme nøkkelen til å dekryptere de krypterte filene.”
Bortsett fra denne merkelige krypteringsprosessen, bruker malware en JavaScript -lansering designet for å dekryptere den viktigste .NET DLL -nyttelasten.
Ransomware kjøres i minnet og en offer-ID tildeles ved hjelp av den sårbare PCens prosessor-ID og volumserienummer, som deretter blir hasket og pinget til skadelig programvare for kommando-og-kontroll (C2) server. Enhver prosess som kan forhindre filkryptering avsluttes, og SetThreadExecutionState API brukes til å stoppe maskinen fra å gå i hvilemodus.
I tillegg tørkes volumskyggeeksempler, Windows -gjenopprettingspunkter slettes og nettverksoppdagelse er aktivert. BlackByte har også ormlignende funksjoner som ligner de som Ryuk bruker, og den vil prøve å spre seg på tvers av tilgjengelige nettverk.
Trustwave har gjort en BlackByte -dekrypter tilgjengelig for nedlasting på GitHub.
Tidligere og relatert dekning
Ny Python -ransomware er rettet mot virtuelle maskiner, ESXi -hypervisorer for å kryptere disker
5,2 milliarder dollar i BTC -transaksjoner knyttet til de ti beste ransomware -variantene: US Treasury
Dette er perfekt ransomware -offer, ifølge cyberkriminelle
Har du et tips? Ta kontakt trygt via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Relaterte emner:
Sikkerhet TV Datahåndtering CXO datasentre 