CryptXXX & CrypMIC – Analiza aktywnie rozwijanego ransomware

W poprzednim tygodniu, na blogu CERT Polska, pojawiła się moja analiza malware’u znanego jako CryptXXX oraz CrypMIC.

Poniżej zajawka posta:

 Zagrożenie pojawiło się kilka miesięcy temu jako moduł exploit-kita Neutrino. Infekcja następuje po wejściu na stronę na której publikowane są złośliwe reklamy (malvertising).
 
 Celem ataku jest głównie nieaktualna wtyczka Adobe Flash Player (wersje do 21.0.0.213, podatność CVE-2016-4117). Złośliwe oprogramowanie dystrybuowane jest zamiennie z ransomware takim jak CryptoWall, TeslaCrypt, CryptoLocker i Cerber.
 
 W ciągu dwóch tygodni czerwca twórcom CryptXXX udało się zarobić 70 BTC (na dzień wpisu jest to około 160 000 PLN / 41 000 USD). Lukratywność tego przedsięwzięcia spowodowała pojawienie się naśladowców, szukających szybkiego zarobku za pomocą malware określanego jako CrypMIC.
 
 Bardzo rzadko zdarza się tyle podobieństw pomiędzy niespokrewnionymi rodzinami malware:
 
   * Dostarczane jako biblioteki .DLL (w niektórych wersjach ten sam entry-point: XMS0\MMS0)
   * Schemat nazewnictwa pliku w postaci: rad[losowy\_ciąg\_znaków].tmp.dll
   * Żądany okup w wysokości 1,2 – 2,4 BTC
   * Nazwy plików z informacją o okupie róźnią się jedynie jedną literą (‚!’ na początku) i mają takie same rozszerzenia (.TXT, .BMP)
   * Własny protokół komunikacji po TCP (port 443)
   * Takie same stringi, mające identyfikować (prawdopodobnie) kampanię
   * Szyfrowanie udziałów sieciowych oraz dysków wymiennych podłączonych do komputera w momencie infekcji
   * Zbliżony układ graficzny i tekst na bitmapach z żądaniem okupu, ustawianych jako tapeta na pulpicie

Zachęcam do zapoznania się z całym wpisem 🙂

P.S. Dzisiaj również zespół Cisco Security opublikował swoją analizę techniczną CryptXXX, lecz w starszych wersjach: 2.006 oraz 3.000.