CryptXXX & CrypMIC – Analiza aktywnie rozwijanego ransomware

W poprzednim tygodniu, na blogu CERT Polska, pojawiła się moja analiza malware’u znanego jako CryptXXX oraz CrypMIC.

Poniżej zajawka posta:

Zagrożenie pojawiło się kilka miesięcy temu jako moduł exploit-kita Neutrino. Infekcja następuje po wejściu na stronę na której publikowane są złośliwe reklamy (malvertising).

Celem ataku jest głównie nieaktualna wtyczka Adobe Flash Player (wersje do 21.0.0.213, podatność CVE-2016-4117). Złośliwe oprogramowanie dystrybuowane jest zamiennie z ransomware takim jak CryptoWall, TeslaCrypt, CryptoLocker i Cerber.

W ciągu dwóch tygodni czerwca twórcom CryptXXX udało się zarobić 70 BTC (na dzień wpisu jest to około 160 000 PLN / 41 000 USD). Lukratywność tego przedsięwzięcia spowodowała pojawienie się naśladowców, szukających szybkiego zarobku za pomocą malware określanego jako CrypMIC.

Bardzo rzadko zdarza się tyle podobieństw pomiędzy niespokrewnionymi rodzinami malware:

  • Dostarczane jako biblioteki .DLL (w niektórych wersjach ten sam entry-point: XMS0\MMS0)
  • Schemat nazewnictwa pliku w postaci: rad[losowy_ciąg_znaków].tmp.dll
  • Żądany okup w wysokości 1,2 – 2,4 BTC
  • Nazwy plików z informacją o okupie róźnią się jedynie jedną literą (‚!’ na początku) i mają takie same rozszerzenia (.TXT, .BMP)
  • Własny protokół komunikacji po TCP (port 443)
  • Takie same stringi, mające identyfikować (prawdopodobnie) kampanię
  • Szyfrowanie udziałów sieciowych oraz dysków wymiennych podłączonych do komputera w momencie infekcji
  • Zbliżony układ graficzny i tekst na bitmapach z żądaniem okupu, ustawianych jako tapeta na pulpicie

Zachęcam do zapoznania się z całym wpisem 🙂

P.S. Dzisiaj również zespół Cisco Security opublikował swoją analizę techniczną CryptXXX, lecz w starszych wersjach: 2.006 oraz 3.000.