Seit April 2023 ist die Ransomware Gruppe CryptNet aktiv. Deren Malware, die auch als Ransomware-as-a-Service im Darknet angeboten wird, ist zwar einfach, aber wohl effektiv und gut verschleiert gegen Erkennungen. Eine Analyste des Zscaler ThreatLabz-Teams.
Die neue Gruppierung vertreibt ihre Ransomware-as-a-Service in Untergrundforen und rekrutiert dort Partner für ihre kriminellen Machenschaften. Die Analysten untersuchten nun die Vorgehensweise der aktuellen Kampagne, die nach Angaben der Bedrohungsakteure Daten von betroffenen Unternehmen vor der Entschlüsselung entwendet, um ihren Lösegeldforderungen durch Veröffentlichung auf einer Datenleck-Seite Nachdruck zu verleihen.
Ransomware inklusive Verschleierung
Der Code der CryptNet-Ransomware ist in .NET geschrieben und mit .NET Reactor verschleiert worden. Die Schadsoftware verwendet 256-Bit AES im CBC-Modus und 2048-Bit RSA zur Verschlüsselung von Dateien. Nach dem Entfernen der Verschleierungsschicht weist CryptNet viele Ähnlichkeiten mit den Chaos Ransomware-Familien und deren neuester Variante mit dem Namen Yashma auf. Zu den Ähnlichkeiten im Code gehören die Verschlüsselungsmethoden, die Deaktivierung von Backup-Diensten und das Löschen von Schattenkopien. CryptNet scheint auf dem Code von Yashma aufzusetzen, hat aber die Leistungsfähigkeit der Dateiverschlüsselung verbessert.
Als eine der ersten Aktionen der Ransomware wird eine ID generiert, die der Ransomware-Nachricht hinzugefügt wird. Sie besteht aus zwei hardcodierten Zeichen gefolgt von 28 Pseudozufallszahlen und am Ende wiederum hardcodierten Zeichen. Auf diese Weise erhält jedes verschlüsselte System eine einzigartige Entschlüsselungs-ID und die Angreifer können das Opfer durch Vor- und Abspann identifizieren. Nach der Erstellung dieser ID beginnt die eigentliche Verschlüsselungsroutine. Während des Verschlüsselungsprozesses erstellt CryptNet eine Erpressernachricht mit dem Namen RESTORE-FILES-[9 random chars].txt.
Einfache aber effektive Ransomware-as-a-Service
CryptNet ist eine einfache, aber effektive Ransomware, die die beliebte Codebasis von Chaos und Yashma übernommen und die Effizienz der Dateiverschlüsselung erhöht hat. Der Code ist nicht besonders fortschrittlich, aber die Algorithmen und die Implementierung sind kryptografisch sicher. Die Gruppierung behauptet von sich, doppelte Erpressungsangriffe durchzuführen, und folgt damit dem Trend von fortschrittlich agierenden Bedrohungsakteuren. Die mehrschichtige Cloud Sicherheitsplattform von Zscaler erkennt die Indikatoren von CryptNet auf unterschiedlichen Ebenen unter dem Namen Win32.Ransom.CryptNet.
Mehr bei Zscaler.com
Über Zscaler Zscaler beschleunigt die digitale Transformation, damit Kunden agiler, effizienter, widerstandsfähiger und sicherer werden können. Zscaler Zero Trust Exchange schützt Tausende von Kunden vor Cyberangriffen und Datenverlusten, indem es Nutzer, Geräte und Anwendungen an jedem Standort sicher verbindet. Die SSE-basierte Zero Trust Exchange ist die weltweit größte Inline-Cloud-Sicherheitsplattform, die über mehr als 150 Rechenzentren auf der ganzen Welt verteilt ist.