Il gruppo di ransomware CryptNet è attivo da aprile 2023. Il loro malware, offerto anche come ransomware-as-a-service sul dark web, è semplice ma probabilmente efficace e ben camuffato contro i rilevamenti. Un analista del team Zscaler ThreatLabz.
Il nuovo gruppo vende il ransomware-as-a-service nei forum clandestini e recluta partner per le loro attività criminali lì. Gli analisti hanno ora esaminato il modus operandi dell'attuale campagna, che secondo gli attori della minaccia ruba i dati dalle aziende interessate prima della decrittazione per rafforzare le loro richieste di riscatto pubblicandoli su un sito Web di fuga di dati.
Ransomware incluso l'offuscamento
Il codice ransomware CryptNet è scritto in .NET e offuscato con .NET Reactor. Il malware utilizza AES a 256 bit in modalità CBC e RSA a 2048 bit per crittografare i file. Dopo aver rimosso il livello di offuscamento, CryptNet condivide molte somiglianze con le famiglie di ransomware Chaos e la loro ultima variante chiamata Yashma. Le somiglianze nel codice includono i metodi di crittografia, la disabilitazione dei servizi di backup e l'eliminazione delle copie shadow. CryptNet sembra essere basato sul codice di Yashma, ma ha migliorato le prestazioni di crittografia dei file.
Una delle prime azioni del ransomware è generare un ID, che viene aggiunto al messaggio del ransomware. Consiste di due caratteri hardcoded seguiti da 28 numeri pseudo-casuali e caratteri hardcoded alla fine. In questo modo, a ciascun sistema crittografato viene assegnato un ID di decrittazione univoco e gli aggressori possono identificare la vittima aprendo e chiudendo i titoli di coda. Dopo aver creato questo ID, inizia la routine di crittografia vera e propria. Durante il processo di crittografia, CryptNet crea una nota di riscatto chiamata RESTORE-FILES-[9 caratteri casuali].txt.
Ransomware-as-a-service semplice ma efficace
CryptNet è un ransomware semplice ma efficace che ha preso il popolare codice base di Chaos e Yashma e ha aumentato l'efficienza della crittografia dei file. Il codice non è particolarmente avanzato, ma gli algoritmi e l'implementazione sono crittograficamente sicuri. Il gruppo afferma di condurre doppi attacchi di ricatto, seguendo la tendenza degli attori delle minacce avanzate. La piattaforma di sicurezza cloud a più livelli di Zscaler rileva gli indicatori di CryptNet a diversi livelli sotto il nome Win32.Ransom.CryptNet.
Altro su Zscaler.com
A proposito di Zscaler Zscaler accelera la trasformazione digitale in modo che i clienti possano diventare più agili, efficienti, resilienti e sicuri. Zscaler Zero Trust Exchange protegge migliaia di clienti da attacchi informatici e perdita di dati collegando in modo sicuro persone, dispositivi e applicazioni ovunque. Zero Trust Exchange basato su SSE è la più grande piattaforma di sicurezza cloud in linea al mondo, distribuita in oltre 150 data center in tutto il mondo.