Unit 42 hat Cyberangriffe gegen mehrere Regierungsbehörden im Nahen Osten beobachtet, bei denen eine bislang noch nicht beobachtete Ransomware-Familie verwendet wurde. Basierend auf den eingebetteten Strings innerhalb der Malware haben die Forscher von Palo Alto Networks diese Malware „RanRan“ genannt. Die spezifische Lösegeldforderung, die von der Malware geliefert wurde, und das kleine Sample-Set dieser Malware-Familie deuten auf gezielte, maßgeschneiderte Angriffe hin. Die Analyse zeigt allerdings keinerlei Verbindungen zu den jüngsten Wellen von Shamoon-2-Angriffen.
Der Hauptzweck von RanRan ist es, Dateien auf dem System zu verschlüsseln und ein Lösegeld vom Opfer anzufordern, um diese Dateien wiederherzustellen. Im Gegensatz zu vielen anderen bekannten Ransomware-Familien, verlangt RanRan aber nicht eine sofortige Zahlung, sondern versucht, eine politische Aussage zu erpressen. Vor einer Verhandlung über die Zahlung sollen die Opfer, Regierungsinstitutionen im Nahen Osten, eine Subdomain mit dem Namen eines umstrittenen Politikers sowie einer Ransomware.txt-Datei erstellen. Die gehostete Datei muss den Hinweis „Hacked“ und eine E-Mail-Adresse enthalten. Die betroffene Regierungsbehörde muss zudem eine politische Erklärung gegen das Staatsoberhaupt erstellen sowie durch das Hosting der Ransomware.txt-Datei öffentlich bekannt geben, dass sie gehackt worden ist.
RanRan sucht unter anderem nach Microsoft-Office-Dateien, Adobe-Acrobat-Dateien, Bildern, Webseiten, SQL-Abfragen sowie Archiv- und Backup-Dateien. Darüber hinaus überwacht die Malware ständig einige Microsoft- und Oracle-Dienste und -Prozesse, um sie regelmäßig zu unterbrechen. Unit 42 sieht es als wahrscheinlich an, dass der Autor diese Dienste und Prozesse stoppen will, um die Chancen für die Ransomware zu erhöhen, entsprechende Datenbankdateien zu verschlüsseln, indem der Zugriff auf diese Dateien beschränkt wird.
Die Malware selbst ist dennoch ziemlich rudimentär. So wurde sowohl eine symmetrische Chiffre als auch ein öffentlich zugänglicher Code verwendet. Zudem macht der Akteur eine Reihe von Fehlern bei der Verschlüsselung von Dateien. Dies erlaubte es Unit 42, ein Skript zu erstellen, das in der Lage ist, einige Dateien zu entschlüsseln, die von RanRan verschlüsselt wurden. Andere Indikatoren, wie etwa Debug-Anweisungen, die innerhalb der Malware gefunden wurden, liefern auch weitere Beweise für diese Vermutung.
Insgesamt stellt RanRan eine interessante Variante der klassischen Ransomware-Taktik dar. Anstatt rein finanziell motiviert zu sein, verfolgt dieser Akteur einen Hacktivism-Ansatz, indem er eine negative öffentliche Erklärung gegen ein Staatsoberhaupt erzwingen will.