Група програм-вимагачів CryptNet працює з квітня 2023 року. Їхнє зловмисне програмне забезпечення, яке також пропонується як програмне забезпечення-вимагач як послуга в темній мережі, просте, але, можливо, ефективне та добре замасковане від виявлення. Аналітик з команди Zscaler ThreatLabz.
Нова група продає свої програми-вимагачі як послугу на підпільних форумах і вербує там партнерів для своєї злочинної діяльності. Наразі аналітики дослідили спосіб дії поточної кампанії, згідно з якою суб’єкти загрози викрадають дані у постраждалих компаній перед розшифровкою, щоб підкріпити свої вимоги щодо викупу, опублікувавши їх на веб-сайті витоку даних.
Програми-вимагачі, включаючи обфускацію
Код програми-вимагача CryptNet написаний у .NET і обфускований за допомогою .NET Reactor. Зловмисне програмне забезпечення використовує 256-бітний AES у режимі CBC і 2048-бітний RSA для шифрування файлів. Після видалення шару обфускації CryptNet має багато спільного з сімействами програм-вимагачів Chaos та їх останнім варіантом під назвою Yashma. Подібності в коді включають методи шифрування, відключення служб резервного копіювання та видалення тіньової копії. Схоже, що CryptNet базується на коді Яшми, але має покращену продуктивність шифрування файлів.
Однією з перших дій програми-вимагача є створення ідентифікатора, який додається до повідомлення програми-вимагача. Він складається з двох жорстко закодованих символів, за якими слідують 28 псевдовипадкових чисел і жорстко закодовані символи в кінці. Таким чином, кожній зашифрованій системі надається унікальний ідентифікатор дешифрування, і зловмисники можуть ідентифікувати жертву, відкриваючи та закриваючи титри. Після створення цього ідентифікатора починається фактична процедура шифрування. Під час процесу шифрування CryptNet створює повідомлення про викуп під назвою RESTORE-FILES-[9 випадкових символів].txt.
Проста, але ефективна програма-вимагач як послуга
CryptNet — це просте, але ефективне програмне забезпечення-вимагач, яке використало популярну кодову базу Chaos і Yashma та підвищило ефективність шифрування файлів. Код не дуже просунутий, але алгоритми та реалізація є криптографічно безпечними. Група стверджує, що проводить подвійні атаки шантажу, слідуючи тенденції просунутих акторів загрози. Багаторівнева хмарна платформа безпеки Zscaler виявляє індикатори CryptNet на різних рівнях під назвою Win32.Ransom.CryptNet.
Більше на Zscaler.com
Про Zscaler Zscaler прискорює цифрову трансформацію, щоб клієнти могли стати більш гнучкими, ефективними, стійкими та безпечними. Zscaler Zero Trust Exchange захищає тисячі клієнтів від кібератак і втрати даних, безпечно підключаючи людей, пристрої та програми будь-де. Zero Trust Exchange на базі SSE є найбільшою у світі вбудованою хмарною платформою безпеки, розподіленою в понад 150 центрах обробки даних по всьому світу.