CryptXXX: Neue Erpressungssoftware der Reveton-Akteure wird durch Angler-Exploit-Kit verteilt

April 28, 2016

Überblick

Die Experten von Proofpoint fanden kürzlich eine bislang nicht dokumentierte Erpressungssoftware, die sich seit Ende März durch Bedep verbreitete, nachdem sie vom Angler Exploit Kit (EK) infiziert wurde. Sowohl die Erkenntnisse von Proofpoint, als auch die Schlussfolgerungen, die von Frank Ruiz (Fox IT InTELL) geteilt wird, führen uns zum gleichen Ergebnis: Dieses Projekt wird von derselben Gruppe durchgeführt, welche die Vorgänge der Reveton Erpressungssoftware steuerte und eng mit Angler/Bedep verbunden ist. Als "CryptXXX" tituliert, verlangt diese neue Erpressungssoftware momentan eine relativ hohe Ablösesumme von 500 US-Dollar, um verschlüsselte Dateien wieder zu entsperren. Angler ist derzeit das Nummer-Eins Exploit Kit gemessen am Volumen und macht damit die möglichen Auswirkungen der neuen Erpressungssoftware in den Händen von erfahrenen Angreifern mit Zugriff auf diesen Vektor umso signifikanter.

Analyse

Am 15. April 2016 entdeckten wir, dass ein Angler EK durch den Bedep-Tronjaner Erpressungssoftware und den Trojaner Dridex 222 auf kompromittierte Rechner lädt.


Abbildung 1: 15. April 2016 - UK – Weiterleitung zu Angler und Laden des Bedep-Trojaners, der eine Erpressungssoftware, Dridex 222 und andere bösartige Programme installiert

 

Um die Opfer darüber in Kenntnis zu setzen, dass sie infiziert und ihre Dateien verschlüsselt wurden, erstellt diese Erpressungssoftware drei Arten von Dateien, ähnlich wie viele andere Erpressungssoftwares (Locky, Teslacrypt, and Cryptowall):

  • de_crypt_readme.bmp
  • de_crypt_readme.txt
  • de_crypt_readme.html

 


Abbildung 2: Die Benachrichtigungsseite für die Anwender der Erpressungssoftware

 


Abbildung 3: Schwarzer Bildschirmhintergrund der Erpressungssoftware

 


Abbildung  4: Mehrsprachige Bezahlseite (verfügbare Sprachen: EN, IT, FR, ES, DE, JP, NL, PL, PT, TR, CN)

 


Abbildung 5: Bezahlseite – Leichte Hilfe zum Entschlüsseln

 


Abbildung 6: FAQ der Bezahlseite der Erpressungssoftware

 

Zunächst sahen wir keine Verbindung dieser Erpressungssoftware zu anderen, die wir bereits kennen, jedoch fanden wir im Internet einen Forenbeitrag [1], in dem Opfer erstmals am 31. März von Infektionen berichteten. Wir entschieden uns, einen genaueren Blick darauf zu werfen und ließen die gesamte Kette in einem überwachten Umfeld laufen:

Abbildung 7: 16. April 2016 – eine Kette des CryptXXX

 

Die Erpressungssoftware wird als DLL versandt und von Bedep in Ordner (wie unten zu sehen) abgelegt. Dies erfolgt in vier einzelnen Infektionen:

  • C:\Users\%Username%\AppData\Local\Temp\{C3F31E62-344D-4056-BF01-BF77B94E0254}\api-ms-win-system-softpub-l1-1-0.dll

  • C:\Users\%Username%\AppData\Local\Temp\{D075E5D0-4442-4108-850E-3AD2874B270C} \api-ms-win-system-provsvc-l1-1-0.dll

  • C:\Users\%Username%\AppData\Local\Temp\{D4A2C643-5399-4F4F-B9BF-ECB1A25644A6}\api-ms-win-system-wer-l1-1-0.dll

  • C:\Users\%Username%\AppData\Local\Temp\{FD68402A-8F8F-4B3D-9808-174323767296}\api-ms-win-system-advpack-l1-1-0.dll

 

Unter realen Bedingungen ist der Start dieser DLL willkürlich verspätet (wir sahen beispielsweise 62 Minuten):

Abbildung 8: Verspätung der CryptXXX Einführung, eingefangen durch eine Sandbox-Analyse

 

Der wichtigste Vorteil dieser Verspätung aus Sicht der Handelnden ist, dass das Opfer nicht in der Lage sein wird, sich einfach mit den Infektionsvektor zu verbinden (in dem Fall zur gefährdeten oder mit schädlicher Software infizierten Webseite).

Wir sahen, dass der DLL in mehreren Fällen mit der Eingangsfunktion ‘Working’ ausgeführt wurde, doch das wird sich wahrscheinlich in Zukunft ändern:

Abbildung 9: CryptXXX Befehlslinie beim Start

 

Die Erpressungssoftware hat Anti-VM und Anti-Analyse Funktionen. Im Einzelnen macht CryptXXX folgendes:

  1. Überprüft den CPU Namen im Register.
  2. Installiert eine Hook-Prozedur, die Monitor- und Mausereignisse auswertet.

Wenn die Erpressungssoftware tatsächlich ausgeführt wird, verschlüsselt sie Dateien und fügt den Dateinamen eine .crypt Erweiterung hinzu.


Abbildung 10: Das Ergebnis der Sandbox-Analyse zeigt dem Opfer die sichtbarsten Handlungen

 

Abbildung 11: CryptXXX versucht, Zugriff auf alle möglichen angeschlossenen Festplatten zu erlangen

 

Diese Erpressungssoftware verschlüsselt nicht nur Dateien lokal und auf allen angeschlossenen Festplatten; es stiehlt Bitcoins und eine Vielzahl an anderen Daten. Wir haben damit gerechnet, da dieser Bedep-Fall eine lange Historie in Bezug auf das Agieren von Informationsdieben in den Update-Stream hat. Speziell Pony wurde von November 2014 bis Mitte Dezember 2015 dazu verwendet. Es ersetze Pony durch einen nicht dokumentierbaren “privaten Dieb” bis Mitte März 2016. Wir glauben, dass die Funktionen dieser Erpressungssoftware zum Stehlen von Informationen die gleichen sind, wie bei dem „privaten Dieb“ im Fall von Bedep.

 


Abbildung 12: CryptXXX sammelt Kundendaten von Instant Messaging Diensten

 


Abbildung 13: CryptXXX sammelt Anmeldedaten von lokaler FTP Kundensoftware

 


Abbildung 14: CryptXXX sammelt Informationen mit Bezug zu installierten Mail-Clients 

 


Abbildung 15: CryptXXX sammelt Browserdaten

 


Abbildung 16: CryptXXX stiehlt Cookie-Daten

 

Zugehörigkeit

Basierend auf dem Infektionsvektor und seiner Historie vermuteten wir, dass die neue Erpressungssoftware direkt mit dem Angler/Bedep Team verbunden war. Wir begründen den Namen dieser Erpressungssoftware auf zwei Strängen, die wir in dem entpackten binären Code fanden:

​Z:\CryptProjectXXX\Loader\InstDecode.pas​
Z:\CryptProjectXXX\Loader\DDetours.pas​ ​

Wichtig ist, dass der richtige Name von Angler EK auch XXX ist[2]. Darüber hinaus war der Handelnde hinter Angler EK auch verantwortlich für Cool EK und Reveton [2][3].

Abbildung 17: Die letzte bekannte Aufmachen der Reveton Erpressungssoftware, Februar 2015 [5]

 

Es gibt viele Gemeinsamkeiten zwischen Reveton und CryptXXX. Die wichtigsten sind:

  • Delphi Programmiersprache
  • Custom C&C Protokoll auf TCP 443
  • Verspäteter Start
  • DLL wird mit einer maßgeschneiderten Eintrittsfunktion aufgerufen
  • Dateien wurden in %AllUsersProfile% geworfen (In Bezug auf CryptXXX sieht es nach einer Code-Wiederverwendung aus, da die Datei nur dem Buchstaben x enthält)
  • Funktionen zum Stehlen von Bitcoins und Anmeldedaten 


Abbildung 18: CryptXXX Anmeldung eingefangen über die Sandbox Analyse

 

Abbildung 19: CryptXXX wirft eine .dat Datei ab, die nur den Buchstaben x enthält.

 

Schlussfolgerung

Basierend auf einer Bedrohungsintelligenz, die von Frank Ruiz (Fox IT InTELL) geteilt wurde und verdächtigen Zeichen, die wir über unsere eigenen Analysen wahrnahmen, sind wir überzeugt von der Verbindung zwischen CryptXXX und dem Reveton Team. Aufgrund Revetons langer Historie von erfolgreicher und groß angelegter Verbreitung von Schadsoftware erwarten wir, dass CryptXXX sehr verbreitet werden wird. Während wir viele Fälle von neuer Erpressungssoftware in den letzten Monaten beobachten konnten, wurden viele von weniger erfahrenden Handelnden geschrieben und/oder verbreitet und hatten deshalb kaum Zugkraft. Diese, die im Zusammenhang mit erfahreneren Agierenden stehen (wie Locky), verbreiteten sich schnell. Durch die Vielzahl an Übersetzungen, die für die Bezahlseite zur Verfügung stehen, scheint es so, als würde das Reveton Team diese Erwartungen teilen.

 

Danksagung

Danke an Frank Ruiz von Fox IT InTELL [6] für das Teilen der deutlichen Hinweise für den Zusammenhang zwischen CryptXXX und Reveton.

 

Quellen

[1] - http://www.bleepingcomputer.com/forums/t/609690/de-crypt-ransomware-support-and-help-topic-crypt-ext-de-crypt-readmehtml

[2] - http://malware.dontneedcoffee.com/2015/12/xxx-is-angler-ek.html

[3] - http://krebsonsecurity.com/2016/04/blackhole-exploit-kit-author-gets-8-years/

[4] - http://malwdontneedcoffee.com/2013/10/paunch-arrestationthe-end-of-era.html

[5] - http://malware.dontneedcoffee.com/2015/02/RevetonWinter2015.html

[6] - https://www.fox-it.com/intell/

 

Indicators of Compromise (IOC’s)

IP/Domain

Comment

146.0.42.68

CryptXXX checkin server

rp4roxeuhcf2vgft.onion.to

CryptXXX payment site

rp4roxeuhcf2vgft.onion.cab

CryptXXX payment site

rp4roxeuhcf2vgft.onion.city

CryptXXX payment site

104.193.252.245

Bedep C&C IP

 

 

md5

sha256

Comment

3776ec795ef3aa649ff48fcf83c87713

41dbbc60b8921709c5eb187cf03e60701e3b172e6deebdb67dd66c8cb3666b90

Zip archive with most of the mentioned content

17697e1829f0d18d2051a67bc2bca134

ab7a58b6e50be6b9bcb926c550ff26669601bbd8bfd922a5b32756e663b25a67

Bedep 1809 first stream dll

CryptXXX

d4439055d2d63e52ffc23c6d24d89194

1036c84a003378907560356642bb065caef961f9dbc5c3b2a4954d5cbe7100df

Bedep 1809 update stream dll1

3e75e8238a6bbd8817164658696198af

1036c84a003378907560356642bb065caef961f9dbc5c3b2a4954d5cbe7100df

Bedep 1809 update stream exe2 - Dridex 222

de882c049be133a950b6917562bb2313

e53610a977b65c01b275e37aefad7884368dfe00b50750e35b6c8c87556a2c06

Bedep 1809 update stream dll3

bfb8f7f6cbe24330a310e5c7cbe99ed4

a4e9c151a50595b59e787dd3b361ac53d02dd7f212d6b22639dc01776c886d05

CryptXXX

0c3431dbb8cd0478250eb4357257880e

565dadb36e1d8b0c787d0d5e4cd7ec8c24cac1d6b37637427547ae465ab0fff0

CryptXXX

cd2d085998a289134ffaf27fbdcbc8cb

0b12584302a5a72f467a08046814593ea505fa397785f1012ab973dd961a6c0e

CryptXXX

d65f155381d26f8ddfa304c83b1ad95a

eaa857c95fca38ca08411b757f4ad2a841cfb9782deca8abf64aada445923c0d

Bedep “Private stealer”

b824d94af0f981106ec2a12d0c4cc1c0

5bfae47c9fda81243b50b6df53ac4184d90a70000894fa2a516044fa44770cfd

Bedep “Private stealer”

971c578c9dea43f91bfb44ceac0ee01d

59ddf36a9e85f4cf82a6511b49cfcdd9e4521b17f7e245f005e18418176ff4aa

Bedep Pony “news.php”

(May 2015)

70a377690917a98e6ee682f7941eb565

ad3cc219a818047d6d3c38a8e4662e21dfedc858578cb2bde2c127d66dfeb7de

Bedep Pony “news.php”

(December 2015)

728733095fe2c66f91a19ebde412dd25

dff7c0aac326f210705e4f53cd78a57cb277e80ecec7bdffd6f68db3bdda39c3

Reveton - 2015-04-14

 

 

Select ET Signatures that would fire on such traffic:

2819805 || ETPRO TROJAN CryptXXX  Ransomware Checkin

2819806 || ETPRO TROJAN CryptXXX Possible Payment Page

2021418 || ET TROJAN Bedep HTTP POST CnC Beacon

2022467 || ET TROJAN Bedep Connectivity Check M2

2811284 || ETPRO CURRENT_EVENTS Angler or Nuclear EK Flash Exploit M2

2815452 || ETPRO CURRENT_EVENTS Angler EK Landing/RIG EK Landing Dec 23 2015 Common Construct

2815888 || ETPRO CURRENT_EVENTS Possible Angler EK Landing Jan 21 M3

2816926 || ETPRO CURRENT_EVENTS Possible Angler EK Landing URI Struct M5 Apr 06

2816932 || ETPRO CURRENT_EVENTS Angler EK Landing with URI Primer Apr 06

2816933 || ETPRO CURRENT_EVENTS Angler EK Apr 07 2016

2816941 || ETPRO CURRENT_EVENTS Angler EK Flash Exploit URI Struct Apr 07 IE

2819646 || ETPRO CURRENT_EVENTS Angler EK Payload Apr 08 2016