Cryptme Ransomware

Die globale Pandemie betrifft nahezu jeden Aspekt unseres täglichen Lebens und erfordert eine dramatische Veränderung sowohl am Arbeitsplatz als auch zu Hause. Einer der Sektoren, die gezwungen waren, sich schnell an den Einsatz neuer Technologien anzupassen, war das Bildungssystem, in dem die Lehrer schnell die Fähigkeiten erwerben mussten, die für die Durchführung des Unterrichts in einer vollständig online verfügbaren Umgebung erforderlich waren. Probleme werden garantiert auftauchen, und anscheinend waren Cyberkriminelle bereit, dies zu nutzen, als die Forscher von Proofpoint eine fein ausgearbeitete Ransomware-Kampagne entdeckten, die genau auf einzelne Lehrer zugeschnitten war.

Die Hacker verteilten E-Mails, die sich als von den Eltern oder Erziehungsberechtigten eines Schülers gesendet tarnten und angeblich eine Aufgabe des Schülers lieferten. Der Vorwand war, dass unbekannte Probleme den Studenten daran gehindert hatten, die Aufgabe auf die übliche Weise einzureichen. Die Titel der E-Mails waren Variationen von "Son's Assignment Upload", "Assignment Upload Failure für [Name des Schülers]" oder "[Student's Name]'s Assignment Upload fehlgeschlagen", während die angehängten, mit Malware geschnürten Dateien [Student's Name] -assignment.docx" hießen und wurden in eine Zip-Datei "[Name des Schülers] -assignment.zip" eingepackt.

Eine maßgeschneiderte Malware, die an Lehrer geliefert wird

Die in den E-Mail-Anhängen gefundene Malware hat die Remote-Vorlageninjektion missbraucht, um ein weiteres Bedrohungsdokument herunterzuladen. Wenn für den Zielbenutzer Makros aktiviert sind, können die ausführbaren Malware-Dateien heruntergeladen werden. Die Hacker hinter der Kampagne verwendeten einen kostenlosen Code-Hosting-Dienst namens notabug.org, um die ausführbaren Dateien bereitzustellen. Ein weiteres merkwürdiges Merkmal der Bedrohungsoperationen ist, dass die Angreifer eine E-Mail- oder SMS-Nachricht erhalten, wenn eine ausführbare Datei gestartet wird, indem ein kostenloser Web-Bug-Dienst namens Canarytokens ausgenutzt wird.

Die Hauptnutzlast, die an den gefährdeten Computer geliefert wird, ist eine maßgeschneiderte Ransomware-Bedrohung, die Cryptime Ransomware, die die Hacker in der Programmiersprache Go geschrieben und als "Cryptme" bezeichnet haben. Die Malware wird als zwei ausführbare Dateien geliefert - 'ctool.exe' und 'etool.exe', wobei eine ein Wrapper ist, der zum Initiieren der anderen benötigt wird. Durch die Bedrohung verschlüsselte Dateien haben ".cryptme" an ihre ursprünglichen Dateinamen angehängt. Der Lösegeldschein wird als Textdatei mit dem Namen "About_Your_Files.txt" geliefert, die auf dem Desktop der gefährdeten Systeme erstellt wird. Ein Popup-Fenster mit einer geringfügigen Abweichung desselben Textes wird ebenfalls von der Bedrohung angezeigt.