CatB Ransomware
Le ransomware CatB est une menace malveillante qui cible les entreprises et était initialement considéré comme une variante de Pandora Ransomware en raison de similitudes entre leurs notes de rançon. Cependant, les deux sont bien distincts. CatB contient des techniques anti-VM pour vérifier l'exécution sur une "machine réelle", suivie de la suppression d'une DLL et de l'utilisation du détournement de DLL à des fins d'évasion de la détection. Le logiciel malveillant se compose de deux fichiers : "version.dll", qui contient UPX et est chargé d'effectuer les vérifications anti-VM, et "oci.dll", la charge utile du ransomware, qui est exécutée après avoir été abandonnée.
Table des matières
Vérification des environnements Sandbox
L'analyse de CatB a découvert trois méthodes différentes utilisées par la menace pour s'assurer qu'elle est exécutée sur un ordinateur réel et non dans une VM/sandbox. La menace effectuera une vérification du cœur du processeur, vérifiera la mémoire disponible totale du système et tiendra compte de la taille du disque dur connecté.
Les ordinateurs actuels ou modernes ont généralement des spécifications matérielles minimales. Si CatB détecte des résultats qui s'écartent trop ou sont inférieurs à une valeur attendue, il traitera les résultats comme un signe qu'il n'est pas exécuté sur un système réel. Par exemple, la plupart des ordinateurs auront au moins deux cœurs de processeur, de sorte que la présence d'un seul sera jugée suspecte. Il en va de même pour la taille de la mémoire physique. Le CatB Ransomware profite de la fonction API GlobalMemoryStatusEx pour récupérer les informations nécessaires et se fermera si les résultats renvoyés affichent moins de 2 Go de mémoire physique. Enfin, le ransomware ne s'activera pas s'il détermine que son environnement actuel dispose de moins de 50 Go d'espace disque.
Détournement de DLL et persistance
Si toutes les vérifications anti-VM réussissent, le dropper déposera la charge utile du ransomware (oci.dll) dans le dossier C:\Windows\System32 et modifiera les configurations du service MSDTC (le service Windows Distributed Transaction Coordinator, qui est responsable pour coordonner les transactions entre les bases de données et les serveurs Web). Les modifications incluent le changement du nom du compte exécutant le service de Network Service à Local System, l'octroi de droits d'administrateur et la modification de son option de démarrage de Demand start à Auto start pour maintenir la persistance après un redémarrage du système.
Une fois que le compte-gouttes a modifié les paramètres nécessaires, il lance le service. Ce service essaiera par défaut de charger plusieurs DLL à partir du dossier System32. Cela permet à la menace de déposer une DLL illégitime (telle que oci.dll) dans le même répertoire, ce qui lui permet d'exécuter du code corrompu.
Routine de chiffrement et demandes de rançon
Le cryptage des données de la victime commence au moment où le fichier de charge utile CatB Ransomware 'oci.dll' est chargé dans le cadre du processus 'msdtc.exe'. Au cours de son exécution, CatB présente plusieurs caractéristiques qui le distinguent des menaces de ransomware les plus courantes. Tout d'abord, il énumérera les disques et lecteurs existants et ne chiffrera que ceux qui font partie de sa liste codée en dur - Disques D:\, E:\, F:\, G:\, H:\, I:\, et tous les fichiers contenus dans C:\Users et ses sous-dossiers. Pour éviter de provoquer des erreurs système critiques sur l'appareil qui pourraient empêcher les victimes de remarquer l'attaque par rançongiciel, CatB n'affectera pas plusieurs extensions de fichiers spécifiques - .msi, .exe, .dll, .sys, .iso, ainsi que le Fichier NTUSER.DAT. Notez que CatB ne modifie en aucun cas les noms des fichiers qu'il crypte.
Un autre écart par rapport à la norme est observé dans la manière dont le CarB Ransomware délivre sa note de rançon. Au lieu de créer un fichier texte avec le message demandant une rançon dans chaque dossier contenant des données verrouillées, la menace attache son message au début de chaque fichier crypté. Cela signifie que les victimes pourraient initialement être confuses quant à la raison pour laquelle leurs fichiers semblent corrompus et ne se verront présenter que les demandes des attaquants lorsqu'elles essaieront d'ouvrir l'un des fichiers concernés. La note de rançon indique que CatB Ransomware utilise l'algorithme de cryptage RAS-2048 et que le montant de la rançon demandée sera basé sur le temps nécessaire aux victimes pour payer. Les sommes vont de 50 Bitcoin (~$800 000) à 130 Bitcoin (~$2 Million). Après cinq jours, les pirates ont menacé de perdre définitivement toutes les données cryptées. Apparemment, les victimes peuvent envoyer jusqu'à 3 fichiers à l'adresse e-mail 'catB9991@protonmail.com' pour être déchiffrés gratuitement.
Le texte complet de la note de CatB Ransomware est :
'??? Ce qui s'est produit???
!!! Vos fichiers sont cryptés !!!Tous vos fichiers sont protégés par un cryptage fort avec RSA-2048.
Il n'y a pas de logiciel de décryptage public.Programme et clé privée, Quel est le prix ? Le prix dépend de la rapidité avec laquelle vous pouvez nous payer.
1 jour : 50 Bitcoins
2 jours : 60 Bitcoins
3 jours : 90 Bitcoins
4 jours : 130 Bitcoins
5 jours : perte permanente de données !!!!Adresse Btc : bc1qakuel0s4nyge9rxjylsqdxnn9nvyhc2z6k27gz
!!! Après réception, nous enverrons le programme et la clé privée à votre service informatique dès maintenant.!!!Décryptage gratuit En garantie, vous pouvez nous envoyer jusqu'à 3 fichiers décryptés gratuitement avant paiement.
e-mail : catB9991@protonmail.com!!! N'essayez pas de déchiffrer vos données à l'aide d'un logiciel tiers, cela pourrait entraîner une perte permanente de données.!!!
!!! Notre programme peut réparer votre ordinateur en quelques minutes.!!!'
