CatB ransomware
A CatB (CatB99, Baxtoy) tavaly év végén jelent meg, és fenyegetéselemzők szerint egy a Pandora néven ismert ransomware-törzs új verziója, vagy közvetlen utódja a kódszintű hasonlóságok alapján.
Érdemes megjegyezni, hogy a Pandora használatát a Bronze Starlightnak (más néven DEV-0401 vagy Emperor Dragonfly) tulajdonítják, ami egy kínai hátterű szereplő, és arról ismert, hogy rövid életű zsarolóprogram-családokat alkalmaz valódi céljainak elrejtésére. A CatB egyik kulcsfontosságú jellemzője, hogy a DLL-eltérítést használ a Microsoft Distributed Transaction Coordinator (MSDTC) nevű valós szolgáltatáson keresztül a zsarolóprogramok elindítására.
Nem ez az első alkalom, hogy az MSDTC szolgáltatást rosszindulatú célokra használnak fel. 2021 májusában a Trustwave nyilvánosságra hozott egy új, Pingback névre keresztelt rosszindulatú programot , amely ugyanazt a technikát használta a tartósság eléréséhez és a biztonsági megoldások megkerüléséhez.