El grupo de ransomware CryptNet ha estado activo desde abril de 2023. Su malware, que también se ofrece como ransomware como servicio en la web oscura, es simple pero posiblemente efectivo y está bien disfrazado contra las detecciones. Un analista del equipo Zscaler ThreatLabz.
El nuevo grupo vende su ransomware como servicio en foros clandestinos y recluta socios para sus actividades delictivas allí. Los analistas ahora examinaron el modus operandi de la campaña actual, que según los actores de amenazas roba datos de las empresas afectadas antes de descifrarlos para reforzar sus demandas de rescate al publicarlos en un sitio web de fuga de datos.
Ransomware, incluida la ofuscación
El código del ransomware CryptNet está escrito en .NET y está ofuscado con .NET Reactor. El malware utiliza AES de 256 bits en modo CBC y RSA de 2048 bits para cifrar archivos. Después de eliminar la capa de ofuscación, CryptNet comparte muchas similitudes con las familias de ransomware Chaos y su última variante llamada Yashma. Las similitudes en el código incluyen métodos de encriptación, deshabilitación de servicios de copia de seguridad y eliminación de instantáneas. CryptNet parece estar basado en el código de Yashma, pero ha mejorado el rendimiento del cifrado de archivos.
Una de las primeras acciones del ransomware es generar una identificación, que se agrega al mensaje del ransomware. Consta de dos caracteres codificados seguidos de 28 números pseudoaleatorios y caracteres codificados al final. De esta forma, a cada sistema encriptado se le otorga una identificación de descifrado única y los atacantes pueden identificar a la víctima abriendo y cerrando créditos. Después de crear este ID, comienza la rutina de cifrado real. Durante el proceso de encriptación, CryptNet crea una nota de rescate llamada RESTORE-FILES-[9 random chars].txt.
Ransomware como servicio simple pero efectivo
CryptNet es un ransomware simple pero efectivo que ha tomado la popular base de código Chaos y Yashma y ha aumentado la eficiencia del cifrado de archivos. El código no es particularmente avanzado, pero los algoritmos y la implementación son criptográficamente seguros. El grupo afirma estar realizando ataques de doble chantaje, siguiendo la tendencia de los actores de amenazas avanzados. La plataforma de seguridad en la nube de múltiples capas de Zscaler detecta indicadores de CryptNet en diferentes niveles bajo el nombre Win32.Ransom.CryptNet.
Más en Zscaler.com
Acerca de Zscaler Zscaler acelera la transformación digital para que los clientes puedan volverse más ágiles, eficientes, resilientes y seguros. Zscaler Zero Trust Exchange protege a miles de clientes de ataques cibernéticos y pérdida de datos al conectar personas, dispositivos y aplicaciones de forma segura en cualquier lugar. Zero Trust Exchange basado en SSE es la plataforma de seguridad en la nube en línea más grande del mundo, distribuida en más de 150 centros de datos en todo el mundo.