CatB-Ransomware
Die CatB-Ransomware ist eine böse Bedrohung, die auf Unternehmen abzielt, und wurde ursprünglich aufgrund von Ähnlichkeiten zwischen ihren Lösegeldscheinen für eine Variante von Pandora Ransomware gehalten. Die beiden sind jedoch ziemlich unterschiedlich. CatB enthält Anti-VM-Techniken zum Verifizieren der Ausführung auf einer „echten Maschine“, gefolgt vom Löschen einer DLL und dem Verwenden von DLL-Hijacking zum Zwecke der Erkennungsumgehung. Die Malware besteht aus zwei Dateien: „version.dll“, die mit UPX gepackt ist und für die Durchführung der Anti-VM-Prüfungen verantwortlich ist, und „oci.dll“, die Ransomware-Payload, die ausgeführt wird, nachdem sie gelöscht wurde.
Inhaltsverzeichnis
Überprüfung auf Sandbox-Umgebungen
Die Analyse von CatB hat drei verschiedene Methoden aufgedeckt, die von der Bedrohung verwendet werden, um sicherzustellen, dass sie auf einem echten Computer und nicht in einer VM/Sandbox ausgeführt wird. Die Bedrohung führt eine Überprüfung des Prozessorkerns durch, überprüft den insgesamt verfügbaren Speicher des Systems und berücksichtigt die Größe der angeschlossenen Festplatte.
Aktuelle oder moderne Computer haben typischerweise minimale Hardwarespezifikationen. Wenn CatB Ergebnisse erkennt, die zu stark abweichen oder unter einem erwarteten Wert liegen, behandelt es die Ergebnisse als Zeichen dafür, dass es nicht auf einem realen System ausgeführt wird. Beispielsweise haben die meisten Computer mindestens zwei Prozessorkerne, sodass das Vorhandensein von nur einem als verdächtig beurteilt wird. Dasselbe gilt für die physische Speichergröße. Die CatB Ransomware nutzt die API-Funktion GlobalMemoryStatusEx, um die erforderlichen Informationen abzurufen, und schließt sich selbst, wenn die zurückgegebenen Ergebnisse weniger als 2 GB physischen Speicher anzeigen. Schließlich wird die Ransomware nicht aktiviert, wenn sie feststellt, dass ihre aktuelle Umgebung weniger als 50 GB Festplattenspeicher hat.
DLL-Hijacking und Persistenz
Wenn alle Anti-VM-Prüfungen bestanden werden, fährt der Dropper mit dem Ablegen der Ransomware-Nutzdaten (oci.dll) im Ordner C:\Windows\System32 fort und ändert die Konfigurationen des MSDTC-Dienstes (des Distributed Transaction Coordinator Windows-Dienstes, der dafür verantwortlich ist zur Koordination von Transaktionen zwischen Datenbanken und Webservern). Die Änderungen umfassen die Änderung des Namens des Kontos, auf dem der Dienst ausgeführt wird, von „Netzwerkdienst“ in „Lokales System“, das Gewähren von Administratorrechten und das Ändern seiner Startoption von „Start bei Bedarf“ in „Automatischer Start“, um die Persistenz nach einem Systemneustart aufrechtzuerhalten.
Sobald der Dropper die erforderlichen Einstellungen geändert hat, startet er den Dienst. Dieser Dienst versucht standardmäßig, mehrere DLLs aus dem System32-Ordner zu laden. Dadurch kann die Bedrohung eine unzulässige DLL (z. B. oci.dll) im selben Verzeichnis ablegen, wodurch beschädigter Code ausgeführt werden kann.
Verschlüsselungsroutine und Lösegeldforderungen
Die Verschlüsselung der Daten des Opfers beginnt in dem Moment, in dem die CatB Ransomware-Payload-Datei „oci.dll“ als Teil des „msdtc.exe“-Prozesses geladen wird. Während seiner Ausführung weist CatB mehrere Merkmale auf, die es von den häufigeren Ransomware-Bedrohungen unterscheiden. Zuerst listet es die vorhandenen Datenträger und Laufwerke auf und verschlüsselt nur diejenigen, die Teil seiner fest codierten Liste sind – Datenträger D:\, E:\, F:\, G:\, H:\, I:\ und alle Dateien, die in C:\Users und seinen Unterordnern enthalten sind. Um zu vermeiden, dass kritische Systemfehler auf dem Gerät verursacht werden, die verhindern könnten, dass die Opfer den Ransomware-Angriff überhaupt bemerken, wirkt sich CatB nicht auf mehrere spezifische Dateierweiterungen aus – .msi, .exe, .dll, .sys, .iso sowie die NTUSER.DAT-Datei. Beachten Sie, dass CatB die Namen der Dateien, die es verschlüsselt, in keiner Weise ändert.
Eine weitere Abweichung von der Norm wird in der Art und Weise beobachtet, wie die CarB Ransomware ihre Lösegeldforderung übermittelt. Anstatt in jedem Ordner mit gesperrten Daten eine Textdatei mit der Lösegeldforderung zu erstellen, hängt die Bedrohung ihre Nachricht an den Anfang jeder verschlüsselten Datei. Dies bedeutet, dass die Opfer zunächst verwirrt sein könnten, warum ihre Dateien beschädigt erscheinen, und ihnen nur die Forderungen der Angreifer angezeigt werden, wenn sie versuchen, eine der betroffenen Dateien zu öffnen. Die Lösegeldforderung besagt, dass CatB Ransomware den RAS-2048-Verschlüsselungsalgorithmus verwendet und die Höhe des geforderten Lösegelds auf der Zeit basiert, die die Opfer für die Zahlung benötigen. Die Summen reichen von 50 Bitcoin (~800.000 $) bis 130 Bitcoin (~2 Millionen $). Nach fünf Tagen drohten die Hacker, dass alle verschlüsselten Daten dauerhaft verloren gehen würden. Anscheinend können Opfer bis zu 3 Dateien an die E-Mail-Adresse „catB9991@protonmail.com“ senden, um sie kostenlos zu entschlüsseln.
Der vollständige Text der Notiz von CatB Ransomware lautet:
'??? Was ist passiert???
!!! Ihre Dateien sind verschlüsselt !!!Alle Ihre Dateien sind durch starke Verschlüsselung mit RSA-2048 geschützt.
Es gibt keine öffentliche Entschlüsselungssoftware.Programm und privater Schlüssel, was ist der Preis? Der Preis hängt davon ab, wie schnell Sie bei uns bezahlen können.
1 Tag: 50 Bitcoin
2 Tage: 60 Bitcoin
3 Tage: 90 Bitcoin
4 Tage: 130 Bitcoin
5. Tag: permanenter Datenverlust !!!!Btc-Adresse: bc1qakuel0s4nyge9rxjylsqdxnn9nvyhc2z6k27gz
!!! Nach Erhalt senden wir das Programm und den privaten Schlüssel sofort an Ihre IT-Abteilung.!!!Kostenlose Entschlüsselung Als Garantie können Sie uns vor der Zahlung bis zu 3 kostenlose entschlüsselte Dateien zusenden.
E-Mail: catB9991@protonmail.com!!! Versuchen Sie nicht, Ihre Daten mit Software von Drittanbietern zu entschlüsseln, dies kann zu dauerhaftem Datenverlust führen.!!!
!!! Unser Programm kann Ihren Computer in wenigen Minuten reparieren.!!!'
