Cryptonite Ransomware IOCs

ransomware IOC

Cryptonite (не путать с вариантом вымогательского ПО Chaos, также названным Cryptonite) - это комплект вымогательского ПО, который существует как FOSS (Free and Open-Source Software). Необычно то, что его может скачать любой человек, обладающий навыками его применения (в отличие от того, что продается в криминальном подполье).

Cryptonite Ransomware

Cryptonite написан на языке Python и требует определенной настройки перед упаковкой и подготовкой к развертыванию. Кроме того, для правильной работы вредоносной программы необходимо настроить и запустить сервер для получения входных данных от исполняемого файла, запущенного на машине жертвы.

Кодирование на языке Python делает разработку очень быстрой и простой. Однако, поскольку это интерпретируемый язык, интерпретатор Python должен быть установлен на любой машине, пытающейся выполнить сценарий. Поскольку это невозможно гарантировать, Cryptonite упакован с помощью PyInstaller, который содержит все необходимые файлы для развертывания кода Python на данной системе.

PyInstaller первоначально помещает эти файлы в папку с произвольным названием в папке Temp Windows жертвы.

После того как PyInstaller поместил необходимые файлы и запустил процесс Cryptonite, он проверяет наличие активного интернет-соединения и отключается, если таковое не обнаружено.

Если подключение к Интернету есть, он начинает шифровать систему. На экране появляется сообщение о попытке загрузить обновление программного обеспечения, а затем строка состояния, показывающая процент выполнения установки. Однако это всего лишь обманка и не отражает того, что делает программа. На самом деле Cryptonite просматривает систему в поисках файлов для шифрования.

Для шифрования файлов Cryptonite использует модуль Python Cryptography. Он использует реализацию Fernet (https://cryptography.io/en/latest/fernet/) для обеспечения 128-битного AES против всего целевого файла.

Расширение зашифрованных файлов по умолчанию изменяется на ".cryptn8". Однако, как показано на рисунке 3, оно может быть изменено на любое другое, если злоумышленник захочет его изменить.

После того как все файлы зашифрованы, Cryptonite пытается определить местоположение жертвы в мире по ее IP-адресу с помощью "ipinfo.io" и пытается связаться с центром управления. Он подключается к вышеупомянутому "ngrok.io", чтобы передать данные жертвы обратно злоумышленнику.

Наконец, на устройстве жертвы создается окно выкупа, содержащее данные злоумышленника.

Жертва может ввести свой ключ расшифровки, если она свяжется со злоумышленником и заплатит выкуп (и если злоумышленник решит предоставить ключ). Вопреки предупреждению, не существует никаких ограничений на количество раз, когда может быть введен неправильный ключ.

Indicators of Compromise

Domains

  • 81.59.117.34.bc.googleusercontent.com
  • ec2-3-125-223-134.eu-central-1.compute.amazonaws.com
  • e4c0660414bf.eu.ngrok.io

SHA256

  • 3b68780719010fc195e6e4f8d1b912030259cb1cddde5a943e44da558222060f
  • 4e86d727ded7ba6c42109262bdf8cb72ae13303769d07995f99e20de3f2ce7ae
  • 7508e8b8054a2f773bb20082460a5e2fb224675c7c5c95a7a7006abf921eaf95
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий