CryptFile2 Ransomware Renditen in hoher Lautstärke URL Kampagnen

Share with your network!

Proofpoint Forscher ursprünglich entdeckt die CryptFIle2 Ransomware im März [1]. Damals war es die Verbreitung per Exploit-Kits (EKs); jedoch erkannt ab dem 3. August 2016, wir die erste groß angelegte e-Mail-Kampagne, die Verteilung von CryptFIle2, ermöglicht ein Maß des Zielens nicht generell mit EKs möglich. Diese laufenden Kampagne scheint vor allem staatlichen und lokalen Regierungsbehörden und Bildungseinrichtungen in den Vereinigten Staaten ausgerichtet sind.

E-Mail-Kampagne

Proofpoint erkannt zwischen 3 August und 9. August eine große CryptFIle2 Ransomware e-Mail-Kampagne. Gegen den häufigeren Trend der bösartige Dokumente an e-Mails anzuhängen, eingebettet dieser Kampagne verwendet bösartige URLs, die Empfänger zum download von Microsoft Word-Dokumente geführt. Wenn geöffnet, beschäftigen diese Dokumente einen Social-Engineering-Köder, den Benutzer schädlichen Makros aktiviert locken. Die Makros herunterladen wiederum die endgültige Ransomware-Nutzlast.

Die Nachrichten in dieser Kampagne eine überzeugende e-Mail-Text verwendet und hatte eine Vielzahl von Betreff-Zeilen verweisen auf American Airlines, die Köder einen Hauch von Legitimität hinzufügen. Diese Themen enthalten:

  • AmericanAirlines Rabatt
  • AmericanAirlines frei 100$
  • Bonus von AmericanAirlines
  • Kostenlos fliegen mit AmericanAirlines

cryptfile201.png
Abbildung 1: E-Mail mit einem überzeugenden Köder und betrügerische branding um bösartige URLs zu liefern, die schließlich zu Ransomware führen

cryptfile202.png
Abbildung 2: Dokument, das Makros und Social Engineering nutzt Ransomware herunterladen

cryptfile203.png
Abbildung 3: Nach der Aktivierung der Makros, maßgeschneiderte Köder erscheint mit einem Flugticket bieten Sie ähnlich wie in der ursprünglichen e-Mail-Nachricht; dieser Köder verweist auf eine legitime Reise-Website (hier verdeckt)

Targeting und Risiko

Proofpoint Forscher entdeckten zuerst CryptFIle2 im März 2016 [1] verbreitet sich über Kern- und Neutrino Exploit-Kits. Die aktuelle Kampagne ist die erste große e-Mail-getragen-Kampagne für die Ransomware beobachtet. Diese Kampagne begann mit Hunderten von Tausenden von Nachrichten am 3. August und setzte mit einem langen Schweif von nur mehreren tausend Nachrichten jeden folgenden Tag.

Diese Kampagne richtet sich in erster Linie an staatlichen und lokalen Behörden, gefolgt von k-12 Bildung. Nachrichten kam durch in kleineren Stückzahlen für Gesundheitswesen, postsekundäre Ausbildung und mehreren anderen Branchen.

cryptfile204.png
Abbildung 4: Vertikale Ausrichtung von Nachrichtenaufkommen indiziert

Analyse

Im Vergleich zu unserem letzten Endes, haben die Dateien fiel auf das Dateisystem, dem Opfer zu warnen, dass sie infiziert sind leicht verändert:

  • HELP_DECRYPT_YOUR_FILES. TXT
  • HELP_DECRYPT_YOUR_FILES. HTML

cryptfile205.png
Abbildung 5: Neue CryptFile2 Text Datei Lösegeldforderung

cryptfile206.png
Abbildung 6: Neue CryptFile2 HTML-Datei Lösegeldforderung

Jedoch sind die verschlüsselten Dateien noch umbenannt, um den ursprünglichen Dateinamen, gefolgt von der ".id_ [Personalid] _ [Ransomemail] .scl" Erweiterung enthalten. Bei diesem neuen Dateinamen ist "Personalid" ein 16-Zeichenfolge aus Kleinbuchstaben und zahlen. Die "Ransomemail" ist die e-Mail, die mit denen die infizierte Benutzer kommunizieren, um ihre Dateien entschlüsselt werden soll. Beispiele für umbenannten Dateien erscheinen unter:

  • User.bmp.id_b8b0e0fc5e797936_email_go[Redacted]IT.com_.SCL
  • Tulips.jpg.id_b8b0e0fc5e797936_email_go[Redacted]IT.com_.SCL

Die Netzwerk-Kommunikations-Protokoll auch bleibt gleich und detektiert werden mit Unterschrift ET 2022683 "ET Trojaner Win32/CryptFile2 Ransomware einchecken". Neben dem standard-Befehl und Steuerung (C & C) Antrag fordert die Malware zuerst eine "default.jpg" Datei vom Server, auf dem der Server mit "Default" in unserem Fall antwortete. Diese Funktionalität kann Bedrohung Akteure die Haut von Lösegeld Nachricht anpassen lassen.

cryptfile207.png
Abbildung 7: Netzwerkverkehr generiert durch ransomware

Wie in unserer vorherigen Analyse erwähnt, ist es wahrscheinlich, dass diese Ransomware ist eines in der Serie CrypBoss-Klone, die HydraCrypt und UmbreCrypt bereits enthalten.

Fazit

Die Anzahl der Ransomware-Instanzen in der freien Wildbahn weiter zunimmt, mit neuen Varianten erscheinen regelmäßig. Wie diese Kampagne und andere wie sie zeigen, sind schieren Anzahl von Varianten nicht das einzige Risiko für die Nutzer. Vielmehr erfordern Vektoren verschieben und ändern Liefermethoden Organisationen umfassende Schutzlösungen beschäftigen über Gateways und Endpunkte um Infektion zu vermeiden. Insbesondere bringt die Ausrichtung in dieser Kampagne durch e-Mail-Versand möglich erhöhte Risiken, Organisationen des öffentlichen Sektors, die möglicherweise weniger ausgestattet zu erkennen und diese Arten von Bedrohungen zu mildern. Organisationen, die nicht Abwehr aktualisieren um erkennen und stoppen diese neueste Generation von Ransomware Bedrohungen findet sich in der schwierigen Lage, das Lösegeld zu zahlen, trägt einen eigenen Satz von Risiken.

Referenzen

  1. https://www.Proofpoint.com/US/Threat-Insight/Post/Ransomware-Explosion-continues-cryptflle2-brlock-mm-locker-discovered

Indikatoren des Kompromisses (IOC)

IOC IOC-Typ Beschreibung
hxxp://www.filesgigastor [..] Top/CVD/ticket_454.doc URL URL, zur Makro-Dokument
hxxp://Pub.filesgigastor [..] Top/ghef/tick532.doc URL URL, zur Makro-Dokument
hxxp://www.dataupllinks [..] Top/skfn/Tick-09w1.doc URL URL, zur Makro-Dokument
hxxp://FTP.filesgigastor [..] Top/23tf/disc_tick-235.doc URL URL, zur Makro-Dokument
hxxp://Pub.dataupllinks [..] Top/GDL/tick974.doc URL URL, zur Makro-Dokument
a5e14eecf6beb956732790b05df001ce4fe0f001022f75dd1952d529d2eb9c11 SHA256 tick532.doc
hxxp://216.170.126 [..] 3/wfil/File.exe URL CryptFIle2 Nutzlast Lage
hxxp://216.170.118 [..] 4/default.jpg URL CryptFIle2 C2
hxxp://216.170.118 [..] 4/Wes/offers.php URL CryptFIle2 C2

 

Wählen Sie ET Signaturen, die auf solchen Datenverkehr ausgelöst werden würde:

2022683 || ET Trojaner Win32/CryptFile2 Ransomware einchecken
2812515 || ETPRO USER_AGENTS verdächtige User-Agent (Post_example)