Proofpoint Forscher ursprünglich entdeckt die CryptFIle2 Ransomware im März [1]. Damals war es die Verbreitung per Exploit-Kits (EKs); jedoch erkannt ab dem 3. August 2016, wir die erste groß angelegte e-Mail-Kampagne, die Verteilung von CryptFIle2, ermöglicht ein Maß des Zielens nicht generell mit EKs möglich. Diese laufenden Kampagne scheint vor allem staatlichen und lokalen Regierungsbehörden und Bildungseinrichtungen in den Vereinigten Staaten ausgerichtet sind.
E-Mail-Kampagne
Proofpoint erkannt zwischen 3 August und 9. August eine große CryptFIle2 Ransomware e-Mail-Kampagne. Gegen den häufigeren Trend der bösartige Dokumente an e-Mails anzuhängen, eingebettet dieser Kampagne verwendet bösartige URLs, die Empfänger zum download von Microsoft Word-Dokumente geführt. Wenn geöffnet, beschäftigen diese Dokumente einen Social-Engineering-Köder, den Benutzer schädlichen Makros aktiviert locken. Die Makros herunterladen wiederum die endgültige Ransomware-Nutzlast.
Die Nachrichten in dieser Kampagne eine überzeugende e-Mail-Text verwendet und hatte eine Vielzahl von Betreff-Zeilen verweisen auf American Airlines, die Köder einen Hauch von Legitimität hinzufügen. Diese Themen enthalten:
- AmericanAirlines Rabatt
- AmericanAirlines frei 100$
- Bonus von AmericanAirlines
- Kostenlos fliegen mit AmericanAirlines
Abbildung 1: E-Mail mit einem überzeugenden Köder und betrügerische branding um bösartige URLs zu liefern, die schließlich zu Ransomware führen
Abbildung 2: Dokument, das Makros und Social Engineering nutzt Ransomware herunterladen
Abbildung 3: Nach der Aktivierung der Makros, maßgeschneiderte Köder erscheint mit einem Flugticket bieten Sie ähnlich wie in der ursprünglichen e-Mail-Nachricht; dieser Köder verweist auf eine legitime Reise-Website (hier verdeckt)
Targeting und Risiko
Proofpoint Forscher entdeckten zuerst CryptFIle2 im März 2016 [1] verbreitet sich über Kern- und Neutrino Exploit-Kits. Die aktuelle Kampagne ist die erste große e-Mail-getragen-Kampagne für die Ransomware beobachtet. Diese Kampagne begann mit Hunderten von Tausenden von Nachrichten am 3. August und setzte mit einem langen Schweif von nur mehreren tausend Nachrichten jeden folgenden Tag.
Diese Kampagne richtet sich in erster Linie an staatlichen und lokalen Behörden, gefolgt von k-12 Bildung. Nachrichten kam durch in kleineren Stückzahlen für Gesundheitswesen, postsekundäre Ausbildung und mehreren anderen Branchen.
Abbildung 4: Vertikale Ausrichtung von Nachrichtenaufkommen indiziert
Analyse
Im Vergleich zu unserem letzten Endes, haben die Dateien fiel auf das Dateisystem, dem Opfer zu warnen, dass sie infiziert sind leicht verändert:
- HELP_DECRYPT_YOUR_FILES. TXT
- HELP_DECRYPT_YOUR_FILES. HTML
Abbildung 5: Neue CryptFile2 Text Datei Lösegeldforderung
Abbildung 6: Neue CryptFile2 HTML-Datei Lösegeldforderung
Jedoch sind die verschlüsselten Dateien noch umbenannt, um den ursprünglichen Dateinamen, gefolgt von der ".id_ [Personalid] _ [Ransomemail] .scl" Erweiterung enthalten. Bei diesem neuen Dateinamen ist "Personalid" ein 16-Zeichenfolge aus Kleinbuchstaben und zahlen. Die "Ransomemail" ist die e-Mail, die mit denen die infizierte Benutzer kommunizieren, um ihre Dateien entschlüsselt werden soll. Beispiele für umbenannten Dateien erscheinen unter:
- User.bmp.id_b8b0e0fc5e797936_email_go[Redacted]IT.com_.SCL
- Tulips.jpg.id_b8b0e0fc5e797936_email_go[Redacted]IT.com_.SCL
Die Netzwerk-Kommunikations-Protokoll auch bleibt gleich und detektiert werden mit Unterschrift ET 2022683 "ET Trojaner Win32/CryptFile2 Ransomware einchecken". Neben dem standard-Befehl und Steuerung (C & C) Antrag fordert die Malware zuerst eine "default.jpg" Datei vom Server, auf dem der Server mit "Default" in unserem Fall antwortete. Diese Funktionalität kann Bedrohung Akteure die Haut von Lösegeld Nachricht anpassen lassen.
Abbildung 7: Netzwerkverkehr generiert durch ransomware
Wie in unserer vorherigen Analyse erwähnt, ist es wahrscheinlich, dass diese Ransomware ist eines in der Serie CrypBoss-Klone, die HydraCrypt und UmbreCrypt bereits enthalten.
Fazit
Die Anzahl der Ransomware-Instanzen in der freien Wildbahn weiter zunimmt, mit neuen Varianten erscheinen regelmäßig. Wie diese Kampagne und andere wie sie zeigen, sind schieren Anzahl von Varianten nicht das einzige Risiko für die Nutzer. Vielmehr erfordern Vektoren verschieben und ändern Liefermethoden Organisationen umfassende Schutzlösungen beschäftigen über Gateways und Endpunkte um Infektion zu vermeiden. Insbesondere bringt die Ausrichtung in dieser Kampagne durch e-Mail-Versand möglich erhöhte Risiken, Organisationen des öffentlichen Sektors, die möglicherweise weniger ausgestattet zu erkennen und diese Arten von Bedrohungen zu mildern. Organisationen, die nicht Abwehr aktualisieren um erkennen und stoppen diese neueste Generation von Ransomware Bedrohungen findet sich in der schwierigen Lage, das Lösegeld zu zahlen, trägt einen eigenen Satz von Risiken.
Referenzen
Indikatoren des Kompromisses (IOC)
| IOC | IOC-Typ | Beschreibung |
| hxxp://www.filesgigastor [..] Top/CVD/ticket_454.doc | URL | URL, zur Makro-Dokument |
| hxxp://Pub.filesgigastor [..] Top/ghef/tick532.doc | URL | URL, zur Makro-Dokument |
| hxxp://www.dataupllinks [..] Top/skfn/Tick-09w1.doc | URL | URL, zur Makro-Dokument |
| hxxp://FTP.filesgigastor [..] Top/23tf/disc_tick-235.doc | URL | URL, zur Makro-Dokument |
| hxxp://Pub.dataupllinks [..] Top/GDL/tick974.doc | URL | URL, zur Makro-Dokument |
| a5e14eecf6beb956732790b05df001ce4fe0f001022f75dd1952d529d2eb9c11 | SHA256 | tick532.doc |
| hxxp://216.170.126 [..] 3/wfil/File.exe | URL | CryptFIle2 Nutzlast Lage |
| hxxp://216.170.118 [..] 4/default.jpg | URL | CryptFIle2 C2 |
| hxxp://216.170.118 [..] 4/Wes/offers.php | URL | CryptFIle2 C2 |
Wählen Sie ET Signaturen, die auf solchen Datenverkehr ausgelöst werden würde:
2022683 || ET Trojaner Win32/CryptFile2 Ransomware einchecken
2812515 || ETPRO USER_AGENTS verdächtige User-Agent (Post_example)