Η πιο πρόσφατη έκδοση του CryptXXX ransomware ήρθε με πολλές αλλαγές, μεταξύ των οποίων η πιο σημαντική είναι ένα infostealer module που μπορεί να προκαλέσει dump και να κλέψει κωδικούς πρόσβασης από διάφορες εφαρμογές στο μολυσμένο μηχάνημα.
Ονομάζεται StillerX, αυτό το module θεωρήθηκε μέρος του CryptXΧX ξεκινώντας με την έκδοση 3.100, που ανιχνεύτηκε από την Proofpoint για πρώτη φορά στις 26 Μαΐου.
Η εταιρεία ασφαλείας των ΗΠΑ λέει ότι αυτή η CryptXΧX έκδοση έρχεται με πολλά νέα χαρακτηριστικά, αλλά το StillerX την καθιστά πιο επικίνδυνη από ότι πριν.
Το StillerX λειτουργεί ακριβώς όπως οι κλασικοί dumpers κωδικών πρόσβασης, επίσης γνωστοί και ως infostealers. Αυτοί οι τύποι malware έχουν σχεδιαστεί ειδικά για να επιτίθενται σε εσωτερικές βάσεις δεδομένων διαφόρων πακέτων λογισμικού, να εξάγουν κρυπτογραφημένους κωδικούς ή κωδικούς πρόσβασης σε απλό κείμενο και στη συνέχεια να τους στέλνουν σε έναν online διακομιστή.
Το StillerX module του CryptXXX είναι ικανό να στοχεύει όλα τα είδη λογισμικού, όπως προγράμματα περιήγησης, διαχειριστές λήψεων, πελάτες ηλεκτρονικού ταχυδρομείου, FTP λογισμικό, εφαρμογές IM, εφαρμογές πόκερ, proxy clients, VPNs, dialer διαπιστευτήρια και κωδικούς πρόσβασης που αποθηκεύονται στη μνήμη cache του WNetEnum και του Credential Manager της Microsoft.
Οι χρήστες μπορούν να ανιχνεύσουν μια CryptXXX ransomware μόλυνση που προέρχεται με το StillerX από την παρουσία των “stiller.dll,” “stillerx.dll” και “stillerzzz.dll” αρχείων στα συστήματά τους.
Η Proofpoint λέει ότι υπάρχουν ενδείξεις στον κώδικα του StillerX που τους κάνουν να πιστέψουν ότι το module θα μπορούσε να χρησιμοποιηθεί ως αυτόνομο, χωρίς το CryptXXX.
Εκτός από την ικανότητά του να κλέβει τους κωδικούς πρόσβασης σας για μελλοντικές επιθέσεις στον κυβερνοχώρο, το CryptXXX άλλαξε και την ιστοσελίδα αποκρυπτογράφησής του. Το portal δέχθηκε ένα «λίφτινγκ» και τώρα διαθέτει και νέα γραφικά.
Μέχρι τώρα, το ransomware χρησιμοποιούσε την ίδια διασύνδεση χρήστη με το CryptoWall ransomware.
Κλείνοντας, το CryptXXX είναι πλέον σε θέση να ψάχνει για δίσκους που είναι συνδεδεμένοι στο δίκτυο και να μολύνει τα αρχεία που βρίσκει και στα partitions. Η δυνατότητα να αναζητήσει και να μολύνει μονάδες δικτύου έχει εμφανιστεί σε αρκετές ransomware οικογένειες κατά τις τελευταίες εβδομάδες και φαίνεται να είναι η φυσική πορεία της εξέλιξης για τις περισσότερες από αυτές τις απειλές, σε μια προσπάθεια να μεγιστοποιηθεί ο αντίκτυπος και η δύναμη των θυμάτων τους για να πληρώσουν τα λύτρα.
Αφότου το CryptΧXX εμφανίστηκε φέτος, τον Απρίλιο, το Kaspersky κατάφερε να σπάσει το CryptXXX 1.x και στη συνέχεια το CryptXXX 2.x. Το CryptΧXX 3.100, ωστόσο, είναι και πάλι undecryptable, καταστρέφοντας το δωρεάν εργαλείο αποκρυπτογράφησης της ρωσικής εταιρείας.
