Cryptme Ransomware

La pandémie mondiale affecte presque tous les aspects de notre vie quotidienne et nécessite un changement radical des routines au travail et à la maison. L'un des secteurs qui ont été obligés de s'adapter rapidement à l'utilisation des nouvelles technologies était le système éducatif, les enseignants devant acquérir rapidement les compétences nécessaires pour dispenser des cours dans un environnement entièrement en ligne. Il est garanti que les problèmes et les problèmes surgiront et, apparemment, les cybercriminels étaient prêts à en profiter, les chercheurs de Proofpoint détectant une campagne de ransomware finement conçue spécifiquement destinée aux enseignants individuels.

Les pirates ont distribué des courriels qui se faisaient passer pour un parent ou un tuteur d'un élève et qui étaient censés livrer un devoir de l'élève. Le prétexte était que des problèmes inconnus avaient empêché l'étudiant de soumettre le devoir de la manière habituelle. Les titres des e-mails étaient des variantes de «Téléchargement du devoir du fils», «Échec du téléchargement du devoir pour [Nom de l'étudiant]» ou «Échec du téléchargement du devoir de [Nom de l'étudiant]», tandis que les fichiers contenant des logiciels malveillants étaient nommés [Nom de l'étudiant] -assignment.docx "et ont été placés dans un fichier zip" [Nom de l'étudiant] -assignment.zip. '

Un logiciel malveillant personnalisé livré aux enseignants

Le logiciel malveillant trouvé dans les pièces jointes de l'e-mail a abusé de l'injection de modèle distant pour télécharger un autre document menaçant. Si l'utilisateur ciblé a activé les macros, cela ouvre la voie au téléchargement des exécutables du malware. Les pirates derrière la campagne ont utilisé un service d'hébergement de code gratuit appelé notabug.org pour fournir les fichiers exécutables. Une autre caractéristique curieuse des opérations menaçantes est que les attaquants reçoivent un e-mail ou un SMS lorsqu'un exécutable est lancé en exploitant un service de bogues Web gratuit appelé Canarytokens.

En ce qui concerne la charge utile principale fournie à la machine compromise - il s'agit d'une menace de ransomware sur mesure, le Cryptime Ransomware , que les pirates ont écrit dans le langage de programmation Go et l'ont nommée `` cryptme ''. Le malware est livré sous forme de deux exécutables - «ctool.exe» et «etool.exe», l'un étant un wrapper nécessaire pour lancer l'autre. Les fichiers cryptés par la menace ont «.cryptme» ajouté à leur nom de fichier d'origine. La note de rançon est livrée sous forme de fichier texte nommé 'About_Your_Files.txt' qui est créé sur le bureau des systèmes compromis. Une fenêtre pop-up avec une légère variation du même texte est également affichée par la menace.