Cr1ptT0r Ransomware

Cr1ptT0r Ransomware
Cr1pT0r

Нов рансъмуер, наречен Cr1ptT0r, предназначен за вградени системи, е таргетиран към мрежово съхранявано (NAS) оборудване, изложено в интернет, за да шифрова наличните данни.

За първи път Cr1ptT0r бе открит в интернет форуми, където потребителите заявиха, че техните D-Link DNS-320 устройства са заразени от рансъмуера. D-Link вече не продава кутията DNS-320, но страницата на продукта показва, че тя все още се поддържа. Въпреки това, най-новата версия на фърмуера излезе през 2016 г. и има много известни грешки, които могат да бъдат използвани за компрометиране на оборудването.

Сканирането на злонамерената двоична ELF в четвъртък показа минимален процент на откриване, като само един класически антивирусен модул идентифицира Cr1ptT0r като заплаха. По време на публикуването, зловредният софтуер се набира от поне шест антивирусни пограми. Разбира се, защитата от ново поколение Adaptive Defense на Panda веднага спира процеса като непознат още от първия ден.
СТАРИЯТ ФЪРМУЕР Е КАТО СЕДНАЛ ЗАЕК, КОЙТО ЧАКА ДА БЪДЕ ЗАЛОВЕН ОТ ХИЩНИЦИТЕ

Детайлите са оскъдни в момента, но членовете на интерент форуми предлагат информация, която предполага, че векторът на атаката е най-вероятно уязвимост в стария фърмуер. Член на екипа на Cr1ptT0r потвърждава това , като заявява, че има толкова много уязвимости в D-Link DNS-320 NAS моделите, че те трябва да бъдат изградени от нулата, за да направят нещата по-добри.

Въпреки че старите версии на фърмуера за DNS-320 са известни като уязвими за поне една грешка, водеща до отдалечено изпълнение на код, през 2018 г. бе публикуван твърдо кодиран backdoor за ShareCenter DNS 320L.

Някои потребители, засегнати от Cr1ptT0r, признаха, че имат инсталирана остаряла версия на фърмуера и че устройството им е изложено в интернет по време на атаката.

Зловредният софтуер пуска два обикновени текстови файла на заразените устройства. Едното е бележката за откуп, наречена “_FILES_ENCRYPTED_README.txt“, която дава информация на жертвата за това как да получи повече подробности за случилото се и как да достигне до операторите на рансъмуера, за да плати откуп в замяна на ключа за дешифриране на файлове.

Забележката за откупа показва на жертвата на услугата за декриптиране Cr1ptT0r, която съдържа същите данни за контакт и стъпките за получаване на ключа за отключване.

За да проверят дали могат да декриптират данните, операторите предлагат на жертвата да отключи първия файл безплатно.

Другият текстов файл има името “_cr1ptt0r_support.txt” и съхранява адреса на уебсайт в мрежата Tor. Това е URL адрес за поддръжка, който жертвите могат да предоставят, ако не знаят какво да правят; той позволява отдалечена обвивка на заразено устройство, ако е онлайн. Членът на групата Cr1ptT0r добави, че URL адресите и IP адресите не се записват, така че няма връзка между данните и жертвата.

Въпреки че членът на Cr1ptT0r казва, че те просто се интересуват от плащане и че шпионажът не е в техния дневен ред, те не могат да гарантират неприкосновеността на личния живот.
Кодовете за отключване на файлове се продават чрез пазара на OpenBazaar, за BTC 0.30672022 (около $ 1200 при текущата цена на Bitcoin). Има и възможност да се плаща по-малко за индивидуално декриптиране на файлове. Цената за това е $ 19.99 и трябва да изпратите криптирания файл, за да го получите декодиран.
Скорошна актуализация на страницата на магазина на OpenBazaar показва, че операторът на рансъмуера също предлага ключове за декриптиране за Synolocker за същата цена. Този вид рансъмуер нанесе сериозни щети още през 2014 г., когато зарази NAS-сървърите от Synology, които стартираха остарели версии на DiskStation Manager, съдържащи две уязвимости. Това беше възможно, въпреки че продавачът пусна пачовете поне осем месеца преди това.

Екипът зад Synolocker затвори уебсайта си в средата на 2014 г. и предложи да продаде в насипно състояние всички непоискани ключове за дешифриране, които имаха за 200 БТК (около $ 100,000 по това време), над 5 500 от тях. Екипажът съобщи, че всички бази данни ще бъдат окончателно изтрити при затварянето на уебсайта.

Днес, съвпадение на частния ключ, който отключва данните при липса на идентификационен номер на жертва, е възможно чрез грубо форсиране – процес, който в този случай е доста бърз, с няколко минути до завършване, каза ръководителят на рансъмуера.
Към заключените файлове не е добавено разширение

Рансъмуерът, който е двоичен ARF ARM, не добавя конкретно разширение към криптираните данни, но изследователят по сигурността Майкъл Гилеспи направи кратък анализ на зловредния софтуер и на файловете, които криптира и установи, че добавя маркера в края на файла. _Cr1ptT0r_

Той също така казва, че низовете, които е забелязал, предполагат, че този рансъмуен щам използва Sodium crypto library и използва алгоритъма “curve25519xsalsa20poly1305” за асиметрично криптиране. Получихме потвърждение за тези подробности от члена на групата Cr1ptT0r, с когото говорихме.

Публичният ключ (256-бит), използван за шифроване на данните, е наличен в отделен файл с име “cr1ptt0r_logs.txt“, в който се съхранява и списък на криптираните файлове, който също се добавя в края на криптираните файлове, точно преди маркера. Gillespie казва, че той съответства на алгоритъма за шифроване, отбелязан по-горе.

В момента ръководителят на ransomware изглежда се интересува от насочване към NAS устройства, които са популярни сред малките предприятия, за да съхраняват и споделят данни вътрешно. Това вероятно е причината за рязкото търсене на откуп.

Cr1ptT0r е нов на пазара, но изглежда, че планира дълъг престой. Той е изграден за Linux системи, с фокус върху вградени устройства, но може да бъде адаптиран и за Windows, според производителя. Крайната игра е печелене на пари и, както ни каза някой, запознат с този вид бизнес, той може да има почти безкрайна възвръщаемост на инвестициите. Зловредният софтуер няма съществено присъствие в момента, но може да се превърне в неприятна заплаха.

 

Източник: По материали от интернет

За Panda Security

Превърнала се в един от водещите световни разработчици на решения за ИТ сигурност, Panda Security има представителства в 80 страни и милиони потребители в повече от 195 държави. Предлага продукти, адаптирани на 23 езика. Обновявайки решенията си компанията постоянно внедрява нови модели и технологии и повишава ефективността си в борбата с интернет заплахите. Благодарение на модула за сигурност Tru Prevent и технологията Collective Intelligence всяко решение предпазва максимално ценната ИТ информация, както от познати заплахи, така и от все още некласифицирани опасности. Panda Security се старае да улесни своите клиенти в съответствие с фирмения си девиз: „Една стъпка преди” всеки нов зловреден код (вирус, шпионски код, спам и др.).

Panda Security си сътрудничи със Special Olympics, WWF и Invest for Children, което е част от корпоративната политика на фирмата за социално отговорно поведение.

За допълнителна информация:

Компютел ООД – Официален представител на Panda Security за България
София: 02/ 813 28 11
Пловдив: 032/ 62 16 08

Сподели в:

Категории:

Следвай ни в: