Novo ransomware desabilita sistemas de segurança

Black Basta, provavelmente vinculado ao grupo FIN7, instala ferramentas

personalizadas de evasão de EDR - Endpoint Detection and Response, implanta scripts e apaga seus rastros

 

CLM, distribuidor latino-americano de valor agregado com foco em segurança da informação, proteção de dados, infraestrutura para data centers e cloud, alerta para novos ataques de ransomware que usam ferramentas personalizadas de evasão de EDR – Endpoint Detection and Response. Trata-se do ransomware Black Basta, que vem usando técnicas, até então desconhecidas, capazes de desabilitar sistemas de segurança como o Windows Defender, obter acesso privilegiado e se camuflar no sistema.

 

A descoberta foi feita pelos pesquisadores do Sentinel Labs, laboratório de pesquisas sobre crimes digitais da SentinelOne, cuja solução de proteção contra Ransomware e outros malwares é baseada em inteligência artificial. 

 

O CEO da CLM, Francisco Camargo, explica que os pesquisadores do Sentinel Labs descreveram as táticas, técnicas e procedimentos operacionais do Black Basta, em um relatório detalhado que mostra a seriedade dos estudos divulgados em espaço aberto. “Na análise os pesquisadores descobriram que o Black Basta instala ferramentas personalizadas, seus ataques usam uma versão camuflada do ADFind e exploram as vulnerabilidades PrintNightmare, ZeroLogon e NoPac para escalonamento de privilégios”.

 

Além disso, continua o executivo, os cibercriminosos iniciam suas ofensivas com um Qakbot, entregue por e-mail e documentos do MS Office, que contenham macros, droppers ISO+LNK e documentos .docx que exploram a vulnerabilidade de execução remota de código MSDTC, CVE-2022-30190. “Depois de usar meticulosas técnicas de invasão, inclusive se tornando o administrador do sistema com uma senha própria, eles cobrem seus rastros”, descreve Camargo.

 

Black Basta mantém e implanta ferramentas personalizadas

 

Em seu relatório, o Sentinel Labs explica que o Black Basta usa diversos métodos para movimento lateral, implantando diferentes scripts, em lote, por meio de Psexec em diferentes máquinas para automatizar o encerramento de processos e serviços e prejudicar as defesas. O ransomware também foi implantado em várias máquinas via psexec.

 

Nos incidentes mais recentes do Black Basta, o Sentinel Labs observou um arquivo em lote chamado SERVI.bat implantado por meio do psexec em todos os terminais da infraestrutura de destino. Esse script, instalado pelo invasor, tem o objetivo de eliminar serviços e processos para maximizar o impacto do ransomware, excluir as cópias shadow e eliminar determinadas soluções de segurança.

 

O ransomware Black Basta surgiu em abril de 2022 e invadiu mais de 90 organizações até setembro de 2022. A rapidez e o volume de ataques provam que os atores por trás do Black Basta são bem organizados e com bons recursos. Segundo os pesquisadores do Sentinel Labs, ainda não houve indicações de que o Black Basta esteja recrutando afiliados ou se anunciando como RaaS – Ransomware as a Service – nos fóruns da darknet ou mercados de crimeware.

 

Isso tem levado a muita especulação sobre a origem, identidade e operação do grupo.

 

A pesquisa indica que os indivíduos por trás do ransomware Black Basta desenvolvem e mantêm seu próprio kit de ferramentas e excluem afiliados ou apenas colaboram com um conjunto limitado e confiável (para eles) de afiliados, de maneira semelhante a outros grupos de ransomware 'privados', como Conti, TA505 e Evilcorp.

 

Velhos conhecidos por trás do novo ransomware

 

O SentinelLabs avalia que é provável que o desenvolvedor dessas ferramentas de evasão de EDR seja ou tenha sido o desenvolvedor do FIN7. Segundo os pesquisadores, o ecossistema de crimeware está em constante expansão, mudança e evolução. O FIN7 (ou Carbanak) é frequentemente creditado por inovar no espaço criminal, levando os ataques contra bancos e sistemas PoS a novos patamares, muito além dos esquemas de seus pares.

 

“À medida que consigamos esclarecer a mão por trás da indescritível operação de ransomware Black Basta, não ficaríamos surpresos ao encontrar um rosto familiar por trás dessa ambiciosa operação. Embora existam muitos rostos novos e ameaças diversas no espaço de ransomware e extorsão dupla, é esperado ver as equipes criminosas profissionais existentes dando seu próprio toque na maximização de lucros ilícitos de novas maneiras”, avaliam.

 

Para mais informações, acesse o link da pesquisa ou veja informações bastante detalhadas sobre o modo de operação do Black Basta

 

O Sentinel Labs começou a rastrear as operações do Black Basta no início de junho, depois de perceber sobreposições entre casos ostensivamente diferentes. Juntamente com outros pesquisadores, o Sentinel Labs observou que as infecções do Black Basta começavam com o Qakbot, entregue por meio de phishing por e-mail, bem como por documentos do MS Office que utilizam macros, droppers ISO+LNK e documentos .docx onde pode ser explorada a vulnerabilidade de execução remota de código MSDTC, CVE-2022-30190.

 

Um dos vetores de acesso inicial observado foi um dropper ISO enviado como “Report Jul 14 39337.iso” que explora o sequestro de DLL (Dynamic-link library biblioteca de vínculo dinâmico da Microsoft), no calc.exe. Uma vez que o usuário clica em “Report Jul 14 39337.lnk” dentro do dropper ISO, o malware executa o comando cmd.exe /q /c calc.exe que permite o sequestro de DLL dentro do código calc, executando a DLL Qakbot, WindowsCodecs.dll. Vale lembrar que “dropper” é um tipo de trojan que baixa um malware no computador da vítima.

 

O Qakbot obtém uma posição persistente no ambiente da vítima definindo uma tarefa agendada que faz referência a um PowerShell malicioso armazenado no registro, atuando como ouvinte e loader (carregador).

 

O processo powershell.exe continua a se comunicar com diferentes servidores, esperando que um operador criminoso envie um comando para ativar recursos de pós-exploração.

 

Quando o operador se conecta ao backdoor, geralmente horas ou dias após a infecção inicial, um novo processo explorer.exe é criado e um processo de esvaziamento é executado para ocultar atividades maliciosas por trás do processo legítimo. Essa operação de injeção ocorre sempre que um componente do framework Qakbot é chamado ou para qualquer processo arbitrário executado manualmente pelo invasor.

 

Introdução do operador Black Basta

 

O reconhecimento manual é realizado quando o operador do Black Basta se conecta à vítima por meio do backdoor do Qakbot. Os utilitários de reconhecimento usados pelo operador são armazenados em um diretório com nomes enganosos como “Intel” ou “Dell”, criados na unidade raiz C:\.

 

A primeira etapa em um comprometimento do Black Basta geralmente envolve a execução de uma versão oculta da ferramenta AdFind, chamada AF.exe.

 

cmd /C C:\intel\AF.exe -f objectcategory=computer -csv name cn OperatingSystem dNSHostName > C:\intel\[REDACTED].csv

 

Esse estágio também envolve o uso de dois assemblies .NET personalizados, que são carregados na memória para realizar tarefas de coleta de informações. Esses assemblies não estão ofuscados e seus principais nomes são, “Processess” e “GetOnlineComputers”, o que fornece boa pista sobre suas reais funções.

 

Os operadores Black Basta foram observados usando as estruturas SharpHound e BloodHound para enumeração do AD (Active Directory) por meio de consultas LDAP.

 

Para instalação na rede, o Black Basta usa o scanner de rede SoftPerfect, netscan.exe. Além disso, o serviço WMI é aproveitado para enumerar as soluções de segurança instaladas.

 

wmic /namespace:\\root\SecurityCenter2 PATH AntiVirusProduct GET /value

wmic /namespace:\\root\SecurityCenter2 PATH AntiSpywareProduct GET /value

wmic /namespace:\\root\SecurityCenter2 PATH FirewallProduct GET /value

 

Técnicas de escalonamento de privilégio Black Basta

 

Além do estágio de reconhecimento, o Black Basta tenta escalar privilégios no nível local e de domínio por meio de uma variedade de explorações. O Sentinel Labs viu o uso de ZeroLogon (CVE-2020-1472), NoPac (CVE-2021-42287, CVE-2021-42278) e PrintNightmare (CVE-2021-34527).

 

Há duas versões do exploit ZeroLogon em uso: uma versão ofuscada, instalada como zero22.exe e uma versão não ofuscada instalada como zero.exe. “Em uma intrusão, observamos o operador Black Basta explorando a vulnerabilidade PrintNightmare e descartando o spider.dll como a carga útil. A DLL cria um novo usuário administrador com nome de usuário “Crackenn” e senha ‘*aaa111Cracke’” contam os pesquisadores.

Essa DLL primeiro define o usuário e a senha em uma estrutura (userInfo) e, em seguida, chama a API NetUserAdd Win para criar um usuário com uma senha que nunca expira. Em seguida, esse usuário é adicionado ao grupo de "Administradores" e "Usuários da área de trabalho remota". Depois, o spider.dll cria o processo RunTimeListen.exe, que executa o backdoor SystemBC (também conhecido como Coroxy), abaixo descrito.

 

Nesse estágio, os operadores do Black Basta cobrem seus rastros excluindo o usuário adicionado e a DLL plantada com o exploit PrintNightmare.

 

Ferramentas de administração remota

 

Os operadores Black Basta têm várias ferramentas RAT em seu arsenal. O agente da ameaça foi observado descartando um arquivo de extração automática contendo todos os arquivos necessários para executar o aplicativo Netsupport Manager, mostrado na pasta C:\temp com o nome Svvhost.exe. A execução do arquivo extrai todos os arquivos de instalação em:

O RAT é então executado por meio de um script run.bat.

 

Em outros casos, os pesquisadores do Sentinel Labs observaram o uso de Splashtop, GoToAssist, Atera Agent e SystemBC, que tem sido usado por diferentes operadores de ransomware como proxy SOCKS5 TOR para comunicações, exfiltração de dados e download de módulos maliciosos.

 

Movimento Lateral do Black Basta

 

Como foi dito, o agente Black Basta usa diferentes métodos para movimento lateral, implantando diferentes scripts em lote por meio de psexec em várias máquinas para automatizar o encerramento de processos e serviços e prejudicar as defesas. O ransomware também é implantado em diversas máquinas via psexec.

 

Nos incidentes mais recentes do Black Basta foi observado que um arquivo em lote chamado SERVI.bat foi implantado por meio do psexec em todos os terminais da infraestrutura de destino. Esse script foi implantado pelo invasor para eliminar serviços e processos para maximizar o impacto do ransomware, excluir cópias sombra e eliminar determinadas soluções de segurança.

 

Prejudicar Defesas

 

Para prejudicar as defesas do host, antes de instalar o payload do locker, o Black Basta tem como alvo soluções de segurança instaladas com scripts em lote específicos baixados no diretório do Windows.

 

Para desabilitar o Windows Defender, os seguintes scripts são executados:

 

\Windows\ILUg69ql1.bat

\Windows\ILUg69ql2.bat

\Windows\ILUg69ql3.bat

 

Os scripts em lote encontrados em diferentes intrusões parecem ter uma convenção para a nomenclatura: ILUG69ql seguidos por um dígito.

 

powershell -ExecutionPolicy Bypass -command "New-ItemProperty -Path 'HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender' -Name DisableAntiSpyware -Value 1 -PropertyType DWORD -Force"

powershell -ExecutionPolicy Bypass -command "Set-MpPreference -DisableRealtimeMonitoring 1"

powershell -ExecutionPolicy Bypass Uninstall-WindowsFeature -Name Windows-Defender

 

De acordo com a documentação oficial, o parâmetro DisableAntiSpyware desabilita o antivírus do Windows Defender Antivirus para implantar outra solução de segurança. O DisableRealtimeMonitoring é usado para desabilitar a proteção em tempo real e, em seguida, Uninstall-WindowsFeature -Name Windows-Defender para desinstalar o Windows Defender.

 

Black Basta e sua conexão com o FIN7

 

Em vários incidentes do Black Basta, os cibercriminosos usaram uma ferramenta personalizada de deficiência de defesa. A análise mostrou que esta ferramenta foi usada em incidentes a partir de 3 de junho de 2022 e encontrada exclusivamente em incidentes do Black Basta. Com base nessas evidências, o Sentinel Labs avaliou que é altamente provável que essa ferramenta seja específica do arsenal do grupo Black Basta.

 

A investigação levou a outra ferramenta personalizada, o WindefCheck.exe, um executável compactado com UPX. O exemplo descompactado é um binário compilado com o Visual Basic. A principal funcionalidade é mostrar uma GUI de segurança do Windows falsa e um ícone de bandeja com um status de sistema “saudável”, mesmo que o Windows Defender e outras funcionalidades do sistema estejam desabilitadas.

 

A análise da ferramenta levou a outras amostras, uma das quais estava empacotada com um packer desconhecido. Após a descompactação, o Sentinel Labs identificou o backdoor BIRDDOG, conectando-se a um servidor C2 no endereço IP 45[.]67[.]229[.]148. BIRDDOG, também conhecido como SocksBot, é um backdoor que tem sido usado em várias operações pelo grupo FIN7.

 

Além disso, observamos que o endereço IP 45[.]67[.]229[.]148 está hospedado em “pq.hosting”, o provedor de hospedagem à prova de balas escolhido pelo FIN7 quando escolhe suas vítimas.

 

“Descobrimos mais amostras em repositórios públicos de malwares empacotados com o mesmo empacotador, mas compilados cerca de dois meses antes da amostra empacotada do BIRDDOG. Descompactar uma dessas amostras revelou que era um sinalizador DNS Cobalt Strike conectando-se ao domínio ‘jardinoks.com’”, contam os pesquisadores.

 

A comparação das amostras sugere que o empacotador usado para o backdoor BIRDDOG é uma versão atualizada do empacotador usado para o sinalizador DNS Cobalt Strike.

 

Segundo o Sentinel Labs, é provável que o criminoso que desenvolve a ferramenta de comprometimento usada pelo Black Basta seja o mesmo criminoso com acesso ao código-fonte do empacotador usado nas operações do FIN7, estabelecendo assim pela primeira vez uma possível conexão entre os dois grupos.

 

O FIN7 é um grupo com motivação financeira que está ativo desde 2012 executando várias operações que atacam várias empresas, de todos os setores. O grupo também é conhecido como “Carbanak”, o nome do backdoor que eles usam, mas há também grupos diferentes que usavam o mesmo malware e que são rastreados de forma diferente.

 

Inicialmente, o FIN7 usava malware POS (Point of Sale) para realizar fraudes financeiras. No entanto, desde 2020 eles mudaram para operações de ransomware, filiando-se ao REvil Conti, realizando suas próprias operações: primeiro como Darkside e depois renomeado como BlackMatter.

 

Neste ponto, é provável que o FIN7 ou um afiliado tenha começado a escrever ferramentas do zero para desassociar suas novas operações das antigas. Com base em sua análise, o Sentinel Labs acredita que a ferramenta personalizada de comprometimento descrita acima é uma delas.

 

A colaboração com outros pesquisadores terceirizados forneceu uma infinidade de dados que apoiam ainda mais a hipótese do laboratório da SentinelOne. No início de 2022, o agente da ameaça (criminoso) parece ter realizado testes de detecção e simulações de ataque usando vários métodos de entrega para droppers, estruturas Cobalt Strike e Meterpreter C2, bem como ferramentas e plugins personalizados. A atividade simulada foi observada meses depois, durante outros ataques. A análise dessas simulações também forneceu alguns endereços IP que o Sentinel Labs acredita serem atribuídos ao agente da ameaça.

 

Sobre a CLM

 

CLM é um distribuidor latino-americano, de valor agregado, com foco em segurança da informação, proteção de dados, infraestrutura para data centers e cloud. A empresa recebeu recentemente três prêmios: o de melhor distribuidor da América Latina pela Nutanix, prêmio conquistado pela qualidade e agilidade nos serviços prestados aos canais; o prêmio Lenovo/Intel Best Growth LA Partner oferecido à empresa que mais se destacou pelo crescimento das vendas; e o Infor Channel Distribution Excellence, uma conquista que se deve ao compromisso da CLM com a excelência e busca incansável de fornecer as melhores soluções e serviços aos parceiros de negócios.

Com sede em São Paulo, a empresa possui coligadas nos EUA, Colômbia, Peru e Chile. Com extensa rede de VARs na América Latina e enorme experiência no mercado, a CLM está constantemente em busca de soluções inovadoras e disruptivas para fornecer cada vez mais valor para seus canais e seus clientes.

www.CLM.international

 

Sobre o Sentinel Labs:

O Sentinel Labs é um espaço aberto para que pesquisadores de ciberameaças e colaboradores aprovados pela SentinelOne compartilhem de forma confiável suas últimas descobertas com a comunidade de ciberdefensores. Sem discursos de vendas, o laboratório caça, reverte, desenvolve exploits e lança luz sobre o mundo de malwares, exploits, APTs e cibercrimes em todas as plataformas. O Sentinel Labs incorpora o compromisso da SentinelOne de compartilhar abertamente – fornecendo ferramentas, contexto e insights – para fortalecer sua missão coletiva de uma vida digital mais segura para todos.