Vorige week hebben we onze analyse van de nieuwe ThunderX ransomware gepubliceerd in een blog post. Daarin kondigden we ook de beschikbaarheid aan van een gratis decryptor voor ThunderX slachtoffers, via de NoMoreRansom website. Sindsdien konden slachtoffers van ThunderX zelf gratis hun bestanden terug krijgen.
Vrij vlot na een tweet over de mogelijkheid om ThunderX bestanden te ontsleutelen en het beschikbaar komen van onze gratis decryptor, verscheen er een nieuwe versie van ThunderX met een nieuwe naam: Ranzy Locker.
In deze blog post bespreken we enkele van de verschillen tussen de oorspronkelijke ThunderX en Ranzy Locker. Gelukkig voor Ranzy Locker slachtoffers is het in sommige gevallen nog steeds mogelijk om hun versleutelde data terug te krijgen zonder het losgeld te betalen, hoewel dit wel wat meer maatwerk vereist.
Ransom note verschillen
Voorop gesteld: aangezien sommige ransomware verspreid wordt via een Ransomware-as-a-Service (RaaS) model, is het soms lastig om te bepalen of verschillen tussen varianten veroorzaakt worden door wijzigingen van een enkele dader, or door meerdere daders die ieder hun eigen configuraties gebruiken. We kunnen niet met zekerheid zeggen welk van beide scenario’s hier het geval is, maar als we in ogenschouw nemen dat ThunderX een relatief kleine ransomware is, zou het ons niets verbazen als de auteurs tevens de enige verspreiders zijn van zowel ThunderX als Ranzy Locker.
De ransom notes van ThunderX en Ranzy Locker vertonen overduidelijk veel overeenkomsten. Bijvoorbeeld de claims dat ze de ‘strongest encryption algorithms’ gebruiken, en dat de daders de enigen zouden zijn die versleutelde bestanden kunnen herstellen.
De naamswijziging van ThunderX naar Ranzy Locker (en de bijbehorende file extension) valt natuurlijk ook op. Reputatie is een belangrijk aspect in de ransomware business: als slachtoffers gaan geloven dat er een redelijke kans is dat ze op korte termijn hun bestanden gratis terug kunnen krijgen, zijn ze wellicht minder geneigd het losgeld te betalen. Uiteraard blijft dit slechts speculeren, maar dat zou wel eens de reden kunnen zijn van de naamswijziging.
Een ander klein (maar belangrijk) verschil is dat de ransom note van Ranzy Locker ook meldt dat de daders alle gevoelige informatie van de slachtoffers hebben gedownload naar hun eigen servers, en dat zij dreigen deze gegevens openbaar te maken als het slachtoffer geen contact opneemt. Dit is een bekend dreigement van ransomware criminelen tegenwoordig om hun slachtoffers verder onder druk te zetten om losgeld te betalen. Er zijn (nog) geen gevallen bij ons bekend van Ranzy Locker slachtoffers waarvan daadwerkelijk (gevoelige) informatie gepubliceerd is door de daders. Bovendien weten we dat de ransomware zelf geen functionaliteit lijkt te bevatten om data te lekken. Dus als de daders echt informatie hebben weten te stelen, zal dat via een los proces op de geïnfecteerde machines gebeurd moeten zijn.
Verschillen en overeenkomsten in de code van ThunderX en Ranzy Locker
Tijdens onze vergelijking van de code van Ranzy Locker met die van ThunderX kwamen we slechts een aantal kleine verschillen tegen. Afgezien van de naam (wat eigenlijk een configuratie-wijziging is die geladen wordt uit versleutelde strings in de resources) zit het voornaamste verschil (helaas) in de cryptografie. De auteurs hebben overduidelijk hun best gedaan: ze hebben de code zo aangepast dat we de aanpak van onze gratis decryptor voor ThunderX niet opnieuw konden gebruiken voor Ranzy Locker. Gelukkig is er nog steeds hoop voor slachtoffers van Ranzy Locker, aangezien decryptie nog steeds mogelijk is in sommige gevallen (meer daarover straks).
In onze vorige blog post beschreven we een aantal interessante bugs in de ThunderX code. Deze bugs zijn nog steeds aanwezig in Ranzy Locker, en er is nog een ander, bijzonder stukje code toegevoegd: Ranzy Locker genereert een RC4 encryptie-sleutel met behulp van de Windows Cryptography Provider API, maar lijkt deze geheel niet te gebruiken. Wij vermoeden dat dit ofwel een poging van de auteurs is om onderzoekers te misleiden, of (wellicht waarschijnlijker) een overblijfsel is van een oudere poging om de encryptie-code aan te passen dat per ongeluk is blijven slingeren in de code.
Meten is weten
Tesorion Retrospect #1
In het Tesorion Retrospect Rapport #1 kijken we terug op het afgelopen jaar, een jaar waarin de COVID-19 crisis de bedrijfscontinuïteit onder grote druk heeft gezet. Leer hoe COVID-19 hackers vrij spel geeft op bedrijfsnetwerken.
Decryptie zonder losgeld
Gelukkig is het ook in het geval van Ranzy Locker nog steeds mogelijk om versleutelde bestanden in sommige gevallen te herstellen zonder het losgeld te betalen. Ook al werkt de meer generieke aanpak die we in onze ThunderX decryptor gebruikt hebben hier niet meer, de implementatie van de cryptografie in Ranzy Locker bevat nog steeds enkele interessante bugs die het mogelijk maken om de versleutelde data te herstellen.
Met behulp van speciaal hiervoor ontwikkelde software kan ons CERT team in sommige gevallen bestanden ontsleutelen die versleuteld zijn door Ranzy Locker. Helaas vereist dit wat maatwerk voor ieder slachtoffer, waardoor we dit niet via een gratis decryptor kunnen aanbieden. Als je slachtoffer bent geworden van Ranzy Locker en interesse hebt in de mogelijkheden voor decryptie zonder het losgeld te betalen, neem dan contact op met ons CERT team.
Conclusie
Bij veel ransomware families zien we snelle doorontwikkeling omdat de auteurs proberen detectie (en in sommige gevallen decryptie) door security researchers een stap voor te blijven. Het is dan ook niet vreemd dat snel na de eerste versie van ThunderX er een nieuwe versie (weliswaar met een andere naam) verscheen: zodra bekend wordt dat slachtoffers hun bestanden gratis terug kunnen krijgen, neemt hun motivatie om deel te nemen aan het ransomware business model snel af.
Nu bekend is dat ook slachtoffers van de vrijwel identieke Ranzy Locker hun bestanden zonder losgeld te betalen, terug zouden kunnen krijgen, is het niet ondenkbaar dat de ransomware en naam nogmaals gaan veranderen. Tot die tijd: als je onverhoopt slachtoffer bent van Ranzy Locker, neem dan contact op met ons CERT team om te bespreken hoe wij wellicht zouden kunnen helpen bij het terug halen van jouw data zonder losgeld te betalen!
Indicators of Compromise
SHA256 van de Ranzy Locker binary die in deze analyse gebruikt is: f49e706389b4d4bd83cf567ef97fa89fe0074044ba3c7f2b42fc8d4a4162fefc