DOH! Neue "Bart" Ransomware Bedrohung Akteure Verbreitung Dridex und Locky

Übersicht

Die Schauspieler hinter Dridex 220 und Locky Partnernummer = 3 haben eine neue Ransomware genannt "Bart" eingeführt. Sie nutzen die RockLoader Malware, um Bart über HTTPS herunterladen. Bart hat eine Zahlungsmaske wie Locky aber verschlüsselt Dateien ohne eine erste Verbindung zu einem Befehl und Steuerung (C & C) Server.

Analyse

Am 24. Juni erkannt Proofpoint Forscher eine große Kampagne mit Zip-Anlagen mit JavaScript-Code. Wenn geöffnet, diese Anhänge herunterladen und installieren den zwischengeschalteten Loader RockLoader (zuvor von Proofpoint entdeckt und mit Locky verwendet), der wiederum die neuen Ransomware genannt "Bart" herunterlädt. Die Nachrichten in dieser Kampagne war die Themen "Fotos" mit dem Anhang "photos.zip", "image.zip", "Photos.zip", "photo.zip", "Photo.zip" oder "picture.zip." Die Zip-Dateien enthaltenen JavaScript-Datei z. B. "PDF_123456789.js."

Um das Opfer zu warnen, die sie infiziert sind, und ihre Dateien werden verschlüsselt, entstehen diese Ransomware zwei Arten von Dateien, ähnlich wie viele andere Arten von Ransomware. Speziell, es fällt ein recover.txt in viele Ordner und ersetzt den Desktop-Hintergrund mit recover.bmp, wie in Abbildung 2 dargestellt.

Vor dem Schreiben der "wiederherstellen"-Dateien, bestimmt die Malware des Benutzers Systemsprache. Freuen Sie sich auf Übersetzungen in Italienisch, Französisch, Deutsch und Spanisch erhältlich. Die Malware nutzt auch die Systemsprache um zu vermeiden, Systeme der russischen, ukrainischen und weißrussischen Anwender zu infizieren. Diese erste Kampagne erscheint zu weitgehend sein targeting US-Interessen jedoch angesichts des globalen Charakters von Locky und Dridex-targeting und die verfügbaren Übersetzungen für die Wiederherstellungsdateien, rechnen wir nicht mit Bart, das lokalisiert bleiben.

Nach der Verschlüsselung einer ". bart.zip" Verlängerung wird an die verschlüsselten Dateien angehängt. Diese Dateien sind vom flüchtigen Hinsehen verschlüsselte Zip-Archive. Die Liste der Dateierweiterungen, die Bart verschlüsselt enthält:

.123 | 3 | .3ds | .3g2 | .3 GP |.602 | AES |. ARC | .asc | .asf | .asm | ASP | .avi | .bak | .bat | .bmp | .brd | .cgm | CMD | CPP | .crt | .csr |. CSV | DBF | .dch | .dif | .dip | .djv | .djvu |. DOC | .docb | DOCM | .docx |. DOT | .dotm | .dotx | .fla | .flv | .frm | .gif | .gpg | .hwp | .ibd | .jar | Java | .jpeg | .jpg | .key | Lay | .lay6 | .ldf | m3u | .m4u | .max | MDB | MDF | .mid | .mkv | MOV |. MP3 | MP4 | .mpeg | .mpg | .ms11 |. MYD |. MYI |. NEF | .odb | .odg | .odp | .ods | .odt | .otg | haben.OTP | .ots | .ott | P12 |. PAQ | .pas | .pdf | .pem | .php | .png | .pot | .potm | .potx | .ppam | .pps | .ppsm | .ppsx |. PPT | .pptm | PPTX | .psd | .rar | Ausgabe |. RTF | .sch | .sldm | .sldx | .slk | .stc | .std | .sti | .stw | .svg | .swf | .sxc | .sxd | .sxi | .sxm | .sxw | .tar | .tbk | tgz | .tif | .tiff | .txt | .uop | .uot | .vbs | .vdi | VMDK | .vmx | .vob | .wav | .wb2 | .wk1 | .wks | .wma | .wmv | .xlc | .xlm |. XLS | .xlsb | .xlsm | xlsx | ".xlt" | .xltm | .xltx | .xlw | .zip

Die Lösegeldforderung fordert den Benutzer auf eine Zahlung-Portal zu besuchen, um 3 Bitcoins (knapp $2000 zu aktuellen Wechselkursen) zu bezahlen. Das Portal ist ähnlich dem von Locky, dargestellt in Abbildung 5 und 6 unten verwendet. Optisch ist nur der Titel "Decryptor Bart" neue, wo der Titel "Locky Decryptor" vor. Während die Zahlung Portale für Locky und Bart optisch identisch sind, ist der Ransomware-Code von Locky weitgehend einzigartig.

Derzeit untersuchen wir die restlichen technischen Details der Funktionsweise von Bart. Es scheint nicht zu jedem Netzwerk Kommunikationsmechanismus mit einem Kommando und Kontrolle-Server haben. Stattdessen wird die notwendige Informationen über den infizierten Rechner wahrscheinlich an die Payment-Server in der URL-Parameter "Id" übergeben. Die Malware nutzt die open-Source-WProtect für Code-Virtualisierung.

Fazit: die Attribute bisher Verknüpfung der Bart Ransomware mit den Schauspielern, die Verteilung von Dridex 220 und Locky Partnernummer = 3 gehören:

• Gleiche e-Mail-Verteilungsmechanismus (e-Mail-Themen, e-Mail-Text, gezippt JavaScript Anhänge herunterladen RockLoader die weitere die letzten Nutzlast Downloads)
• Lösegeld Nachricht Stil ähnlich Locky
• Zahlung Portal Stil ist das gleiche wie bei Locky
• Die RockLoader-Server hostet die Bart-Nutzlast ergab auch hosting Locky Partnernummer 3 (MD5: 3d2607a7b5519f7aee8ebd56f2a65021) und Dridex 220 (MD5: ed4191e07f49bbe60f3c00a0b74ec571).
• Eine gewisse Menge an Code sharing/Ähnlichkeit zwischen Locky und Bart, zum Beispiel in den Code, den Benutzer-Desktop-Hintergrund

Fazit

Während wir noch die technischen Details dieser neuen Ransomware untersucht werden, sind die Verbindungen zwischen Bart und Dridex/Locky signifikant. Da Bart keine Kommunikation mit C & C Infrastruktur vor dem Verschlüsseln von Dateien benötigt wird, kann jedoch Bart möglicherweise PCs hinter Unternehmensfirewalls zu verschlüsseln, die sonst solchen Datenverkehr blockieren würden. Organisationen müssen daher sicherstellen, dass Bart am e-Mail-Gateway mit Regeln, die komprimierte ausführbare Dateien blockieren blockiert ist. Wir werden weiterhin beobachten und analysieren Bart als weitere Kampagnen und Informationen entstehen.