CryptNet Ransomware unter der Lupe

CryptNet-Ransomware-Erpressernachricht

Im April 2023 ist erstmalig eine neue Ransomware Gruppe unter dem Namen CryptNet in Erscheinung getreten, deren Aktivitäten von den Security-Analysten des Zscaler ThreatLabz-Teams nun analysiert wurden. Die neue Gruppierung vertreibt ihre Ransomware-as-a-Service in Untergrundforen und rekrutiert dort Partner für ihre kriminellen Machenschaften. Die Analysten untersuchten nun die Vorgehensweise der aktuellen Kampagne, die nach Angaben der Bedrohungsakteure Daten von betroffenen Unternehmen vor der Entschlüsselung entwendet, um ihren Lösegeldforderungen durch Veröffentlichung auf einer Datenleck-Seite Nachdruck zu verleihen.

Der Code der CryptNet-Ransomware ist in .NET geschrieben und mit .NET Reactor verschleiert worden. Die Schadsoftware verwendet 256-Bit AES im CBC-Modus und 2048-Bit RSA zur Verschlüsselung von Dateien. Nach dem Entfernen der Verschleierungsschicht weist CryptNet viele Ähnlichkeiten mit den Chaos Ransomware-Familien und deren neuester Variante mit dem Namen Yashma auf. Zu den Ähnlichkeiten im Code gehören die Verschlüsselungsmethoden, die Deaktivierung von Backup-Diensten und das Löschen von Schattenkopien. CryptNet scheint auf dem Code von Yashma aufzusetzen, hat aber die Leistungsfähigkeit der Dateiverschlüsselung verbessert.

Als eine der ersten Aktionen der Ransomware wird eine ID generiert, die der Ransomware-Nachricht hinzugefügt wird. Sie besteht aus zwei hardcodierten Zeichen gefolgt von 28 Pseudozufallszahlen und am Ende wiederum hardcodierten Zeichen. Auf diese Weise erhält jedes verschlüsselte System eine einzigartige Entschlüsselungs-ID und die Angreifer können das Opfer durch Vor- und Abspann identifizieren. Nach der Erstellung dieser ID beginnt die eigentliche Verschlüsselungsroutine. Während des Verschlüsselungsprozesses erstellt CryptNet eine Erpressernachricht mit dem Namen RESTORE-FILES-[9 random chars].txt.

CryptNet ist eine einfache, aber effektive Ransomware, die die beliebte Codebasis von Chaos und Yashma übernommen und die Effizienz der Dateiverschlüsselung erhöht hat. Der Code ist nicht besonders fortschrittlich, aber die Algorithmen und die Implementierung sind kryptografisch sicher. Die Gruppierung behauptet von sich, doppelte Erpressungsangriffe durchzuführen, und folgt damit dem Trend von fortschrittlich agierenden Bedrohungsakteuren. Die mehrschichtige Cloud Sicherheitsplattform von Zscaler erkennt die Indikatoren von CryptNet auf unterschiedlichen Ebenen unter dem Namen Win32.Ransom.CryptNet.

Die vollständige technische Analyse ist im ThreatLabZ-Blog nachzulesen: https://www.zscaler.com/blogs/security-research/technical-analysis-cryptnet-ransomware