O grupo de ransomware CryptNet está ativo desde abril de 2023. Seu malware, que também é oferecido como ransomware como serviço na dark web, é simples, mas indiscutivelmente eficaz e bem disfarçado contra detecções. Um analista da equipe Zscaler ThreatLabz.
O novo grupo vende seu ransomware como serviço em fóruns clandestinos e recruta parceiros para suas atividades criminosas lá. Os analistas agora examinaram o modus operandi da campanha atual, que, de acordo com os atores da ameaça, rouba dados das empresas afetadas antes da descriptografia para reforçar suas demandas de resgate, publicando-os em um site de vazamento de dados.
Ransomware incluindo ofuscação
O código do ransomware CryptNet é escrito em .NET e ofuscado com .NET Reactor. O malware usa AES de 256 bits no modo CBC e RSA de 2048 bits para criptografar arquivos. Depois de remover a camada de ofuscação, o CryptNet compartilha muitas semelhanças com as famílias de ransomware Chaos e sua variante mais recente chamada Yashma. As semelhanças no código incluem métodos de criptografia, desativação de serviços de backup e exclusão de cópia de sombra. O CryptNet parece ser baseado no código de Yashma, mas melhorou o desempenho da criptografia de arquivos.
Uma das primeiras ações do ransomware é gerar um ID, que é adicionado à mensagem do ransomware. Ele consiste em dois caracteres codificados seguidos por 28 números pseudo-aleatórios e caracteres codificados no final. Dessa forma, cada sistema criptografado recebe um ID de descriptografia exclusivo e os invasores podem identificar a vítima abrindo e fechando créditos. Depois de criar esse ID, a rotina de criptografia real começa. Durante o processo de criptografia, CryptNet cria uma nota de resgate chamada RESTORE-FILES-[9 random chars].txt.
Ransomware como serviço simples, mas eficaz
CryptNet é um ransomware simples, mas eficaz, que pegou a popular base de código Chaos e Yashma e aumentou a eficiência da criptografia de arquivos. O código não é particularmente avançado, mas os algoritmos e a implementação são criptograficamente seguros. O grupo afirma estar conduzindo ataques duplos de chantagem, seguindo a tendência dos agentes de ameaças avançadas. A plataforma de segurança em nuvem multicamadas da Zscaler detecta indicadores de CryptNet em diferentes níveis sob o nome Win32.Ransom.CryptNet.
Mais em Zscaler.com
Sobre Zscaler O Zscaler acelera a transformação digital para que os clientes possam se tornar mais ágeis, eficientes, resilientes e seguros. O Zscaler Zero Trust Exchange protege milhares de clientes contra ataques cibernéticos e perda de dados, conectando com segurança pessoas, dispositivos e aplicativos em qualquer lugar. O Zero Trust Exchange baseado em SSE é a maior plataforma de segurança em nuvem em linha do mundo, distribuída em mais de 150 data centers em todo o mundo.