CatB Ransomware
El ransomware CatB es una amenaza desagradable que se dirige a entidades corporativas e inicialmente se pensó que era una variante de Pandora Ransomware debido a las similitudes entre sus notas de rescate. Sin embargo, los dos son bastante distintos. CatB contiene técnicas anti-VM para verificar la ejecución en una 'máquina real', seguido de la eliminación de una DLL y el uso del secuestro de DLL para fines de evasión de detección. El malware consta de dos archivos: 'version.dll', que está empaquetado con UPX y es responsable de realizar las comprobaciones anti-VM, y 'oci.dll', la carga útil del ransomware, que se ejecuta después de ser soltado.
Tabla de contenido
Comprobación de entornos Sandbox
El análisis de CatB ha descubierto tres métodos diferentes utilizados por la amenaza para garantizar que se ejecute en una computadora real y no en una VM/sandbox. La amenaza realizará una verificación del núcleo del procesador, verificará la memoria total disponible del sistema y considerará el tamaño del disco duro conectado.
Las computadoras actuales o modernas suelen tener especificaciones de hardware mínimas. Si CatB detecta resultados que se desvían demasiado o están por debajo de un valor esperado, tratará los resultados como una señal de que no se está ejecutando en un sistema real. Por ejemplo, la mayoría de las computadoras tendrán al menos dos núcleos de procesador, por lo que la presencia de uno solo se considerará sospechosa. Lo mismo se aplica al tamaño de la memoria física. CatB Ransomware aprovecha la función API GlobalMemoryStatusEx para recuperar la información necesaria y se cerrará si los resultados devueltos muestran menos de 2 GB de memoria física. Finalmente, el ransomware no se activará si determina que su entorno actual tiene menos de 50 GB de espacio en el disco duro.
Secuestro y persistencia de DLL
Si pasan todas las comprobaciones anti-VM, el cuentagotas procederá a colocar la carga útil del ransomware (oci.dll) en la carpeta C:\Windows\System32 y modificará las configuraciones del servicio MSDTC (el servicio de Windows del Coordinador de transacciones distribuidas, que es responsable para coordinar transacciones entre bases de datos y servidores Web). Las modificaciones incluyen cambiar el nombre de la cuenta que ejecuta el servicio de Servicio de red a Sistema local, otorgarle derechos de administrador y alterar su opción de inicio de Inicio a pedido a Inicio automático para mantener la persistencia después de reiniciar el sistema.
Una vez que el cuentagotas ha modificado la configuración necesaria, inicia el servicio. Este servicio intentará cargar varias DLL desde la carpeta System32 de manera predeterminada. Esto permite que la amenaza deposite una DLL ilegítima (como oci.dll) en el mismo directorio, lo que le permite ejecutar código corrupto.
Rutina de cifrado y demandas de rescate
El cifrado de los datos de la víctima comienza en el momento en que se carga el archivo de carga útil CatB Ransomware 'oci.dll' como parte del proceso 'msdtc.exe'. Durante su ejecución, CatB exhibe varias características que lo distinguen de las amenazas de ransomware más comunes. En primer lugar, enumerará los discos y las unidades existentes y solo cifrará aquellos que formen parte de su lista codificada: discos D:\, E:\, F:\, G:\, H:\, I:\ y todos los demás. archivos contenidos en C:\Users y sus subcarpetas. Para evitar causar errores críticos del sistema en el dispositivo que podrían impedir que las víctimas noten el ataque de ransomware, CatB no afectará varias extensiones de archivo específicas: .msi, .exe, .dll, .sys, .iso, así como el archivo NTUSER.DAT. Tenga en cuenta que CatB no cambia los nombres de los archivos que cifra de ninguna manera.
Se observa otra desviación de la norma en la forma en que CarB Ransomware entrega su nota de rescate. En lugar de crear un archivo de texto con el mensaje que exige el rescate en cada carpeta que contiene datos bloqueados, la amenaza adjunta su mensaje al principio de cada archivo cifrado. Esto significa que las víctimas inicialmente podrían estar confundidas acerca de por qué sus archivos parecen dañados y solo se les presentarán las demandas de los atacantes cuando intenten abrir uno de los archivos afectados. La nota de rescate establece que CatB Ransomware utiliza el algoritmo de cifrado RAS-2048 y el tamaño del rescate exigido se basará en el tiempo que tardan las víctimas en pagar. Las sumas van desde 50 Bitcoin (~$800 000) hasta 130 Bitcoin (~$2 millones). Después de cinco días, los piratas informáticos amenazaron con que todos los datos cifrados se perderían de forma permanente. Aparentemente, las víctimas pueden enviar hasta 3 archivos a la dirección de correo electrónico 'catB9991@protonmail.com' para descifrarlos de forma gratuita.
El texto completo de la nota de CatB Ransomware es:
'??? ¿¿¿Lo que pasó???
!!! ¡Tus archivos están encriptados!Todos sus archivos están protegidos por un fuerte cifrado con RSA-2048.
No hay ningún software de descifrado público.Programa y clave privada, ¿Cuál es el precio? El precio depende de qué tan rápido pueda pagarnos.
1 día: 50 bitcoins
2 día: 60 Bitcoin
3 día: 90 Bitcoin
4 día: 130 Bitcoin
5 días: pérdida permanente de datos !!!!Dirección BTC: bc1qakuel0s4nyge9rxjylsqdxnn9nvyhc2z6k27gz
!!! ¡Después de recibirlo, enviaremos el programa y la clave privada a su departamento de TI ahora mismo!Descifrado gratuito Como garantía, puede enviarnos hasta 3 archivos descifrados gratuitos antes del pago.
correo electrónico: catB9991@protonmail.com!!! No intente descifrar sus datos usando software de terceros, esto puede resultar en la pérdida permanente de datos.!!!
!!! Nuestro programa puede reparar su computadora en pocos minutos.!!!'
