Cryptme ransomware

La pandemia mundial afecta casi todos los aspectos de nuestra vida diaria y requiere un cambio drástico tanto en el lugar de trabajo como en la rutina del hogar. Uno de los sectores que se vieron obligados a adaptarse rápidamente al uso de las nuevas tecnologías fue el sistema educativo, donde los profesores tuvieron que adquirir rápidamente las habilidades necesarias para llevar a cabo las lecciones en un entorno completamente en línea. Está garantizado que surgirán problemas y problemas y, aparentemente, los ciberdelincuentes estaban listos para aprovecharlo con los investigadores de Proofpoint que detectaron una campaña de ransomware finamente diseñada y dirigida con precisión a profesores individuales.

Los piratas informáticos distribuyeron correos electrónicos que se hacían pasar por enviados por el padre o tutor de un estudiante y supuestamente entregando una tarea del estudiante. El pretexto era que problemas desconocidos habían impedido que el alumno presentara la tarea de la forma habitual. Los títulos de los correos electrónicos eran variaciones de "Carga de la tarea del hijo", "Error de carga de la tarea para [Nombre del estudiante]" o "Error en la carga de la tarea de [Nombre del estudiante]", mientras que los archivos adjuntos con malware se llamaban [Nombre del estudiante] -assignment.docx "y se colocaron dentro de un archivo zip" [Student's Name] -assignment.zip. '

Un software malintencionado personalizado entregado a los profesores

El malware encontrado dentro de los archivos adjuntos del correo electrónico abusó de la inyección de plantilla remota para descargar otro documento amenazante. Si el usuario objetivo tiene macros habilitadas, abre el camino para que se descarguen los ejecutables de malware. Los piratas informáticos detrás de la campaña utilizaron un servicio de alojamiento de código gratuito llamado notabug.org para entregar los archivos ejecutables. Otra característica curiosa de las operaciones amenazantes es que los atacantes reciben un correo electrónico o mensaje SMS cuando se inicia un ejecutable mediante la explotación de un servicio gratuito de errores web llamado Canarytokens.

En cuanto a la carga útil principal entregada a la máquina comprometida, es una amenaza de ransomware hecha a medida, Cryptime Ransomware , que los piratas informáticos escribieron en el lenguaje de programación Go y la llamaron 'cryptme'. El malware se entrega como dos ejecutables: 'ctool.exe' y 'etool.exe', uno de los cuales es un contenedor necesario para iniciar el otro. Los archivos cifrados por la amenaza tienen ".cryptme" adjunto a sus nombres de archivo originales. La nota de rescate se entrega como un archivo de texto llamado 'About_Your_Files.txt' que se crea en el escritorio de los sistemas comprometidos. La amenaza también muestra una ventana emergente con una ligera variación del mismo texto.