CryptNet: Ransomware-as-a-Service mit Verschleierung

B2B Cyber Security ShortNews

Beitrag teilen

Seit April 2023 ist die Ransomware Gruppe CryptNet aktiv. Deren Malware, die auch als Ransomware-as-a-Service im Darknet angeboten wird, ist zwar einfach, aber wohl effektiv und gut verschleiert gegen Erkennungen. Eine Analyste des Zscaler ThreatLabz-Teams.

Die neue Gruppierung vertreibt ihre Ransomware-as-a-Service in Untergrundforen und rekrutiert dort Partner für ihre kriminellen Machenschaften. Die Analysten untersuchten nun die Vorgehensweise der aktuellen Kampagne, die nach Angaben der Bedrohungsakteure Daten von betroffenen Unternehmen vor der Entschlüsselung entwendet, um ihren Lösegeldforderungen durch Veröffentlichung auf einer Datenleck-Seite Nachdruck zu verleihen.

Ransomware inklusive Verschleierung

Der Code der CryptNet-Ransomware ist in .NET geschrieben und mit .NET Reactor verschleiert worden. Die Schadsoftware verwendet 256-Bit AES im CBC-Modus und 2048-Bit RSA zur Verschlüsselung von Dateien. Nach dem Entfernen der Verschleierungsschicht weist CryptNet viele Ähnlichkeiten mit den Chaos Ransomware-Familien und deren neuester Variante mit dem Namen Yashma auf. Zu den Ähnlichkeiten im Code gehören die Verschlüsselungsmethoden, die Deaktivierung von Backup-Diensten und das Löschen von Schattenkopien. CryptNet scheint auf dem Code von Yashma aufzusetzen, hat aber die Leistungsfähigkeit der Dateiverschlüsselung verbessert.

Als eine der ersten Aktionen der Ransomware wird eine ID generiert, die der Ransomware-Nachricht hinzugefügt wird. Sie besteht aus zwei hardcodierten Zeichen gefolgt von 28 Pseudozufallszahlen und am Ende wiederum hardcodierten Zeichen. Auf diese Weise erhält jedes verschlüsselte System eine einzigartige Entschlüsselungs-ID und die Angreifer können das Opfer durch Vor- und Abspann identifizieren. Nach der Erstellung dieser ID beginnt die eigentliche Verschlüsselungsroutine. Während des Verschlüsselungsprozesses erstellt CryptNet eine Erpressernachricht mit dem Namen RESTORE-FILES-[9 random chars].txt.

Einfache aber effektive Ransomware-as-a-Service

CryptNet ist eine einfache, aber effektive Ransomware, die die beliebte Codebasis von Chaos und Yashma übernommen und die Effizienz der Dateiverschlüsselung erhöht hat. Der Code ist nicht besonders fortschrittlich, aber die Algorithmen und die Implementierung sind kryptografisch sicher. Die Gruppierung behauptet von sich, doppelte Erpressungsangriffe durchzuführen, und folgt damit dem Trend von fortschrittlich agierenden Bedrohungsakteuren. Die mehrschichtige Cloud Sicherheitsplattform von Zscaler erkennt die Indikatoren von CryptNet auf unterschiedlichen Ebenen unter dem Namen Win32.Ransom.CryptNet.

Mehr bei Zscaler.com

 


Über Zscaler

Zscaler beschleunigt die digitale Transformation, damit Kunden agiler, effizienter, widerstandsfähiger und sicherer werden können. Zscaler Zero Trust Exchange schützt Tausende von Kunden vor Cyberangriffen und Datenverlusten, indem es Nutzer, Geräte und Anwendungen an jedem Standort sicher verbindet. Die SSE-basierte Zero Trust Exchange ist die weltweit größte Inline-Cloud-Sicherheitsplattform, die über mehr als 150 Rechenzentren auf der ganzen Welt verteilt ist.


 

Passende Artikel zum Thema

Schutzlösungen für MacOS Sonoma im Test

Der große Test von Schutz-Software für Unternehmen und Einzelplatz-PCs für MacOS fand im AV-TEST-Labor erstmals unter der MacOS Version Sonoma ➡ Weiterlesen

BSI: Neue Studie zu Hardware-Trojaner 

Das BSI hat eine Studie veröffentlicht zu Manipulationsmöglichkeiten von Hardware in verteilten Fertigungsprozessen. Dabei geht es um versteckte Chips auf ➡ Weiterlesen

Intel schließt kritische und hochgefährliche Sicherheitslücken

Fast etwas unauffällig hat Intel viele Sicherheitslücken in seinen Produkten geschlossen. Mit dabei sind eine kritische Lücke mit dem CVSS-Wert ➡ Weiterlesen

BSI und Zero Day Initiative warnt vor kritischer Azure Schwachstelle  

Die Zero Day Initiative (ZDI) sammelt und verifiziert gemeldete Schwachstellen. Nun gibt es wohl eine kritische Schwachstelle in Azure mit dem ➡ Weiterlesen

Hoffnung für Unternehmen: FBI hat 7.000 LockBit Ransomware-Keys

Bereits im Februar und im Mai startete FBI, Europol und viele andere Behörden die Operationen gegen die Ransomware-Erpresser LockBit. Dabei ➡ Weiterlesen

Google-Leak: Datenbank belegt Datenpannen

Einem Journalist wurde eine Google-Datenbank zugespielt die tausende interne Datenpannen von 2013 bis 2018 enthalten und intern bei Google gelöst ➡ Weiterlesen

Keylogger stiehlt bei Exchange Servern Login-Daten

Das Incident Response Team des PT ESC hat einen neuartigen Keylogger in der Hauptseite eines Microsoft Exchange Servers entdeckt. Jeder ➡ Weiterlesen

Fluent Bit: Angriff auf Cloud-Dienste über Protokollierungs-Endpunkte

Tenable Research hat in Fluent Bit, einer Kernkomponente der Überwachungsinfrastruktur vieler Cloud-Dienste, eine kritische Sicherheitslücke namens „Linguistic Lumberjack“ entdeckt, die ➡ Weiterlesen