DOGE BIG BALLS
A Cyble jelentése szerint a DOGE BIG BALLS nevű zsarolóprogram egy testreszabott Fog ransomware-változat, amelyet kifinomult PowerShell-alapú támadási lánc segítségével terjesztenek. A támadás első lépése egy stage1.ps1 nevű PowerShell-szkript végrehajtása, amely ellenőrzi a felhasználó rendszergazdai jogosultságait. Ha ilyen jogosultságokat talál, létrehoz egy rejtett mappát a rendszer indítási könyvtárában, majd letölti és futtatja a cwiper.exe nevű binárist, valamint a ktool.exe nevű kernel exploit eszközt egy Netlify-alapú távoli szerverről. A ktool.exe egy hardkódolt kulcsot használ a ransomware folyamatának azonosításához és manipulálásához. Ha a felhasználónak nincs rendszergazdai jogosultsága, a ransomware binárist egy rejtett almappába másolja a felhasználó indítási könyvtárában, hogy később alternatív mechanizmusokkal aktiválja.
A stage1.ps1 ezután letölti és végrehajtja a lootsubmit.ps1 nevű szkriptet, amely további rendszer- és hálózati információkat gyűjt az áldozat gépéről, elősegítve a további profilozást. Érdekesség, hogy a PowerShell-szkript provokatív és nem kapcsolódó állításokat is tartalmaz, például a CIA és Kennedy meggyilkolásával kapcsolatban, amelyek pszichológiai taktikaként szolgálhatnak az áldozat vagy az elemző összezavarására.
A ransomware végrehajtása során egy Adobe Acrobat.exe nevű fájl futtatásával indul, amely egy megerősítő üzenetablakot jelenít meg a felhasználó interakciójának kiváltására. Ezután megnyitja a RANSOMNOTE.txt fájlt, és létrehoz egy DbgLog.sys nevű fájlt az aktuális könyvtárban, amelyben a tevékenységeit naplózza. A zsarolólevélben a támadó Edward Coristine néven mutatkozik be, megadva otthoni címét és telefonszámát, és 4,721373 Monero (~1000 USD) váltságdíjat követel egy megadott pénztárcacímre. Továbbá fenyegetést intéz az áldozathoz, miszerint egy trillió dolláros büntetést szab ki, ha az áldozat nem nyújt be öt munkateljesítményt az előző hétről.
Az összegyűjtött rendszerinformációk alapján a ransomware megkezdi a fájlok titkosítását, a binárisba beágyazott konfigurációs paraméterek szerint. Ezek közé tartozik az RSA nyilvános kulcs, a célzott fájlkiterjesztések, a zsarolólevél fájlneve, a kihagyandó könyvtárak, a figyelmen kívül hagyandó fájlnevek mintái, valamint a titkosítás előtt leállítandó folyamatok és szolgáltatások listája.
A DOGE BIG BALLS ransomware elnevezése és a zsarolólevélben szereplő Edward Coristine név valószínűleg arra irányul, hogy összekapcsolják a támadást a 19 éves szoftvermérnökkel, aki Big Balls néven ismert, és Elon Musk Department of Government Efficiency (DOGE) kezdeményezésének prominens tagja. Ez a kapcsolatfelvétel valószínűleg a rágalmazás és a DOGE kezdeményezés hiteltelenítése céljából történt.
