ランサムウェア グループ CryptNet は 2023 年 XNUMX 月から活動を続けています。 彼らのマルウェアは、ダークウェブ上でサービスとしてのランサムウェアとしても提供されており、シンプルですが間違いなく効果的で、検出をうまく隠しています。 Zscaler ThreatLabz チームのアナリスト。
この新しいグループは、アンダーグラウンド フォーラムでサービスとしてのランサムウェアを販売し、そこで犯罪行為のパートナーを募集します。 アナリストらは現在、現在のキャンペーンの手口を調査している。攻撃者らによると、データをデータ漏洩ウェブサイトに公開することで身代金要求を強化するため、復号化する前に影響を受ける企業からデータを盗んでいるという。
難読化を含むランサムウェア
CryptNet ランサムウェア コードは .NET で記述され、.NET Reactor で難読化されています。 このマルウェアは、CBC モードの 256 ビット AES と 2048 ビット RSA を使用してファイルを暗号化します。 難読化レイヤーを削除した後、CryptNet は Chaos ランサムウェア ファミリおよび Yashma と呼ばれるその最新の亜種と多くの類似点を共有します。 コードの類似点には、暗号化方法、バックアップ サービスの無効化、シャドウ コピーの削除などが含まれます。 CryptNet は Yashma のコードをベースにしているようですが、ファイル暗号化のパフォーマンスが向上しています。
ランサムウェアの最初のアクションの 28 つは、ランサムウェア メッセージに追加される ID を生成することです。 これは、9 つのハードコーディングされた文字と、それに続く XNUMX 個の疑似乱数、および最後にハードコーディングされた文字で構成されます。 このようにして、暗号化された各システムには一意の復号化 ID が与えられ、攻撃者はクレジットを開閉することで被害者を特定できます。 この ID を作成した後、実際の暗号化ルーチンが開始されます。 暗号化プロセス中に、CryptNet は RESTORE-FILES-[XNUMX 個のランダムな文字].txt という身代金メモを作成します。
シンプルだが効果的なサービスとしてのランサムウェア
CryptNet は、人気のある Chaos および Yashma コードベースを採用し、ファイル暗号化の効率を向上させた、シンプルだが効果的なランサムウェアです。 コードは特に高度ではありませんが、アルゴリズムと実装は暗号的に安全です。 このグループは、高度な脅威アクターの傾向に従い、二重の脅迫攻撃を行っていると主張しています。 Zscaler の多層クラウド セキュリティ プラットフォームは、Win32.Ransom.CryptNet という名前でさまざまなレベルで CryptNet の指標を検出します。
詳細は Zscaler.com をご覧ください
ゼットスケーラーについて Zscaler はデジタル トランスフォーメーションを加速するため、顧客はより機敏で効率的、回復力があり、安全になります。 Zscaler Zero Trust Exchange は、人、デバイス、アプリケーションをどこからでも安全に接続することで、何千もの顧客をサイバー攻撃やデータ損失から保護します。 SSE ベースのゼロ トラスト エクスチェンジは、世界最大のインライン クラウド セキュリティ プラットフォームであり、世界中の 150 以上のデータ センターに分散されています。