Novo ransomware desabilita sistemas de segurança
Black Basta,
provavelmente vinculado ao grupo FIN7, instala ferramentas
personalizadas de
evasão de EDR - Endpoint Detection and Response, implanta scripts e apaga seus
rastros
CLM,
distribuidor latino-americano de valor agregado com foco em segurança da
informação, proteção de dados, infraestrutura para data centers e cloud, alerta
para novos ataques de ransomware que usam ferramentas personalizadas de evasão
de EDR – Endpoint Detection and Response. Trata-se do ransomware Black Basta,
que vem usando técnicas, até então desconhecidas, capazes de desabilitar
sistemas de segurança como o Windows Defender, obter acesso privilegiado e se
camuflar no sistema.
A
descoberta foi feita pelos pesquisadores do Sentinel Labs, laboratório de
pesquisas sobre crimes digitais da SentinelOne, cuja solução de proteção contra
Ransomware e outros malwares é baseada em inteligência artificial.
O CEO
da CLM, Francisco Camargo, explica que os pesquisadores do Sentinel Labs
descreveram as táticas, técnicas e procedimentos operacionais do Black Basta,
em um relatório detalhado que mostra a seriedade dos estudos divulgados em
espaço aberto. “Na análise os pesquisadores descobriram que o Black Basta instala
ferramentas personalizadas, seus ataques usam uma versão camuflada do ADFind e exploram as
vulnerabilidades PrintNightmare,
ZeroLogon
e NoPac
para escalonamento de privilégios”.
Além
disso, continua o executivo, os cibercriminosos iniciam suas ofensivas com um Qakbot, entregue por
e-mail e documentos do MS Office, que contenham macros, droppers ISO+LNK e
documentos .docx que exploram a vulnerabilidade de execução remota de código MSDTC, CVE-2022-30190.
“Depois de usar meticulosas técnicas de invasão, inclusive se tornando o
administrador do sistema com uma senha própria, eles cobrem seus rastros”,
descreve Camargo.
Black
Basta mantém e implanta ferramentas personalizadas
Em
seu relatório, o Sentinel Labs explica que o Black Basta usa diversos métodos
para movimento lateral, implantando diferentes scripts, em lote, por meio de Psexec em diferentes
máquinas para automatizar o encerramento de processos e serviços e prejudicar
as defesas. O ransomware também foi implantado em várias máquinas via psexec.
Nos
incidentes mais recentes do Black Basta, o Sentinel Labs observou um arquivo em
lote chamado SERVI.bat
implantado por meio do psexec
em todos os terminais da infraestrutura de destino. Esse script, instalado pelo
invasor, tem o objetivo de eliminar serviços e processos para maximizar o
impacto do ransomware, excluir as cópias shadow
e eliminar determinadas soluções de segurança.
O
ransomware Black Basta surgiu em abril de 2022 e invadiu mais de 90
organizações até setembro de 2022. A rapidez e o volume de ataques provam que
os atores por trás do Black Basta são bem organizados e com bons recursos.
Segundo os pesquisadores do Sentinel Labs, ainda não houve indicações de que o
Black Basta esteja recrutando afiliados ou se anunciando como RaaS – Ransomware as a Service
– nos fóruns da darknet
ou mercados de crimeware.
Isso
tem levado a muita especulação sobre a origem, identidade e operação do grupo.
A
pesquisa indica que os indivíduos por trás do ransomware Black Basta
desenvolvem e mantêm seu próprio kit de ferramentas e excluem afiliados ou
apenas colaboram com um conjunto limitado e confiável (para eles) de afiliados,
de maneira semelhante a outros grupos de ransomware 'privados', como Conti, TA505 e Evilcorp.
Velhos
conhecidos por trás do novo ransomware
O
SentinelLabs avalia que é provável que o desenvolvedor dessas ferramentas de
evasão de EDR seja ou tenha sido o desenvolvedor do FIN7. Segundo os
pesquisadores, o ecossistema de crimeware está em constante expansão, mudança e
evolução. O FIN7
(ou Carbanak)
é frequentemente creditado por inovar no espaço criminal, levando os ataques
contra bancos e sistemas PoS
a novos patamares, muito além dos esquemas de seus pares.
“À
medida que consigamos esclarecer a mão por trás da indescritível operação de
ransomware Black Basta, não ficaríamos surpresos ao encontrar um rosto familiar
por trás dessa ambiciosa operação. Embora existam muitos rostos novos e ameaças
diversas no espaço de ransomware e extorsão dupla, é esperado ver as equipes
criminosas profissionais existentes dando seu próprio toque na maximização de
lucros ilícitos de novas maneiras”, avaliam.
Para
mais informações, acesse o link da pesquisa ou
veja informações
bastante detalhadas sobre o modo de operação do Black Basta
O
Sentinel Labs começou a rastrear as operações do Black Basta no início de
junho, depois de perceber sobreposições entre casos ostensivamente diferentes.
Juntamente com outros pesquisadores, o Sentinel Labs observou que as infecções
do Black Basta começavam com o Qakbot,
entregue por meio de phishing por e-mail, bem como por documentos do MS Office
que utilizam macros, droppers ISO+LNK e documentos .docx onde pode ser
explorada a vulnerabilidade de execução remota de código MSDTC, CVE-2022-30190.
Um
dos vetores de acesso inicial observado foi um dropper ISO enviado como “Report
Jul 14 39337.iso” que explora o sequestro de DLL (Dynamic-link library
biblioteca de vínculo dinâmico da Microsoft), no calc.exe. Uma vez que o
usuário clica em “Report
Jul 14 39337.lnk” dentro do dropper ISO, o malware executa o
comando cmd.exe /q /c
calc.exe que permite o sequestro de DLL dentro do código calc, executando a
DLL Qakbot, WindowsCodecs.dll
. Vale
lembrar que “dropper”
é um tipo de trojan
que baixa um malware
no computador da vítima.
O
Qakbot obtém uma posição persistente no ambiente da vítima definindo uma tarefa
agendada que faz referência a um PowerShell malicioso armazenado no registro,
atuando como ouvinte e loader (carregador).
O
processo powershell.exe
continua a se comunicar com
diferentes servidores, esperando que um operador criminoso envie um comando
para ativar recursos de pós-exploração.
Quando
o operador se conecta ao backdoor, geralmente horas ou dias após a infecção
inicial, um novo processo explorer.exe
é criado e um processo de esvaziamento é executado para ocultar atividades
maliciosas por trás do processo legítimo. Essa operação de injeção ocorre
sempre que um componente do framework Qakbot é chamado ou para qualquer
processo arbitrário executado manualmente pelo invasor.
Introdução
do operador Black Basta
O
reconhecimento manual é realizado quando o operador do Black Basta se conecta à
vítima por meio do backdoor do Qakbot. Os utilitários de reconhecimento usados
pelo operador são armazenados em um diretório com nomes enganosos como “Intel”
ou “Dell”, criados na unidade raiz C:\
.
A
primeira etapa em um comprometimento do Black Basta geralmente envolve a
execução de uma versão oculta da ferramenta AdFind, chamada AF.exe
.
cmd /C C:\intel\AF.exe -f objectcategory=computer -csv name cn OperatingSystem dNSHostName > C:\intel\[REDACTED].csv
Esse
estágio também envolve o uso de dois assemblies
.NET personalizados,
que são carregados na memória para realizar tarefas de coleta de informações.
Esses assemblies não estão ofuscados e seus principais nomes são, “Processess” e “GetOnlineComputers”,
o que fornece boa pista sobre suas reais funções.
Os operadores
Black Basta foram observados usando as estruturas SharpHound e BloodHound para
enumeração do AD (Active Directory) por meio de consultas LDAP.
Para
instalação na rede, o Black Basta usa o scanner de rede SoftPerfect, netscan.exe
. Além
disso, o serviço WMI
é aproveitado para enumerar as soluções de segurança instaladas.
wmic /namespace:\\root\SecurityCenter2 PATH AntiVirusProduct GET /value
wmic /namespace:\\root\SecurityCenter2 PATH AntiSpywareProduct GET /value
wmic /namespace:\\root\SecurityCenter2 PATH FirewallProduct GET /value
Técnicas
de escalonamento de privilégio Black Basta
Além do
estágio de reconhecimento, o Black Basta tenta escalar privilégios no nível
local e de domínio por meio de uma variedade de explorações. O Sentinel Labs
viu o uso de ZeroLogon
(CVE-2020-1472), NoPac
(CVE-2021-42287, CVE-2021-42278) e PrintNightmare
(CVE-2021-34527).
Há duas versões do exploit ZeroLogon em uso: uma versão ofuscada, instalada como zero22.exe e uma versão não ofuscada instalada como zero.exe. “Em uma intrusão, observamos o operador Black Basta explorando a vulnerabilidade PrintNightmare e descartando o spider.dll como a carga útil. A DLL cria um novo usuário administrador com nome de usuário “Crackenn” e senha ‘*aaa111Cracke’” contam os pesquisadores.
Essa
DLL primeiro define o usuário e a senha em uma estrutura (userInfo) e, em
seguida, chama a API
NetUserAdd Win
para criar um usuário com uma senha que nunca expira. Em seguida, esse usuário
é adicionado ao grupo de "Administradores" e "Usuários da área
de trabalho remota". Depois, o spider.dll
cria o
processo RunTimeListen.exe
, que
executa o backdoor
SystemBC
(também conhecido como Coroxy),
abaixo descrito.
Nesse
estágio, os operadores do Black Basta cobrem seus rastros excluindo o usuário
adicionado e a DLL plantada com o exploit PrintNightmare.
Ferramentas
de administração remota
Os
operadores Black Basta têm várias ferramentas RAT em seu arsenal. O agente da ameaça
foi observado descartando um arquivo de extração automática contendo todos os
arquivos necessários para executar o aplicativo Netsupport Manager, mostrado na
pasta C:\temp
com
o nome Svvhost.exe
. A execução do arquivo extrai
todos os arquivos de instalação em:
O RAT é
então executado por meio de um script run.bat
.
Em
outros casos, os pesquisadores do Sentinel Labs observaram o uso de Splashtop, GoToAssist, Atera Agent e SystemBC, que tem
sido usado por diferentes operadores de ransomware como proxy SOCKS5 TOR para
comunicações, exfiltração de dados e download de módulos maliciosos.
Movimento
Lateral do Black Basta
Como
foi dito, o agente Black Basta usa diferentes métodos para movimento lateral,
implantando diferentes scripts em lote por meio de psexec em várias máquinas
para automatizar o encerramento de processos e serviços e prejudicar as
defesas. O ransomware também é implantado em diversas máquinas via psexec.
Nos
incidentes mais recentes do Black Basta foi observado que um arquivo em lote
chamado SERVI.bat
foi
implantado por meio do psexec
em
todos os terminais da infraestrutura de destino. Esse script foi implantado
pelo invasor para eliminar serviços e processos para maximizar o impacto do
ransomware, excluir cópias sombra e eliminar determinadas soluções de
segurança.
Prejudicar
Defesas
Para
prejudicar as defesas do host, antes de instalar o payload do locker, o Black
Basta tem como alvo soluções de segurança instaladas com scripts em lote
específicos baixados no diretório do Windows.
Para
desabilitar o Windows Defender, os seguintes scripts são executados:
\Windows\ILUg69ql1.bat
\Windows\ILUg69ql2.bat
\Windows\ILUg69ql3.bat
Os
scripts em lote encontrados em diferentes intrusões parecem ter uma convenção
para a nomenclatura: ILUG69ql seguidos por um dígito.
powershell -ExecutionPolicy Bypass -command "New-ItemProperty -Path 'HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender' -Name DisableAntiSpyware -Value 1 -PropertyType DWORD -Force"
powershell -ExecutionPolicy Bypass -command "Set-MpPreference -DisableRealtimeMonitoring 1"
powershell -ExecutionPolicy Bypass Uninstall-WindowsFeature -Name Windows-Defender
De
acordo com a documentação oficial, o parâmetro DisableAntiSpyware desabilita o
antivírus do Windows Defender Antivirus para implantar outra solução de
segurança. O DisableRealtimeMonitoring é usado para desabilitar a proteção em
tempo real e, em seguida, Uninstall-WindowsFeature -Name Windows-Defender para
desinstalar o Windows Defender.
Black
Basta e sua conexão com o FIN7
Em
vários incidentes do Black Basta, os cibercriminosos usaram uma ferramenta
personalizada de deficiência de defesa. A análise mostrou que esta ferramenta
foi usada em incidentes a partir de 3 de junho de 2022 e encontrada
exclusivamente em incidentes do Black Basta. Com base nessas evidências, o
Sentinel Labs avaliou que é altamente provável que essa ferramenta seja
específica do arsenal do grupo Black Basta.
A
investigação levou a outra ferramenta personalizada, o WindefCheck.exe
, um
executável compactado com UPX.
O exemplo descompactado é um binário compilado com o Visual Basic. A principal
funcionalidade é mostrar uma GUI
de segurança do Windows falsa e um ícone de bandeja com um status de sistema
“saudável”, mesmo que o Windows Defender e outras funcionalidades do sistema
estejam desabilitadas.
A
análise da ferramenta levou a outras amostras, uma das quais estava empacotada
com um packer desconhecido. Após a descompactação, o Sentinel Labs identificou
o backdoor BIRDDOG,
conectando-se a um servidor C2 no endereço IP 45[.]67[.]229[.]148
. BIRDDOG,
também conhecido como SocksBot, é um backdoor que tem sido usado em várias
operações pelo grupo FIN7.
Além
disso, observamos que o endereço IP 45[.]67[.]229[.]148
está
hospedado em “pq.hosting”, o provedor de hospedagem à prova de balas escolhido
pelo FIN7 quando escolhe suas vítimas.
“Descobrimos
mais amostras em repositórios públicos de malwares empacotados com o mesmo
empacotador, mas compilados cerca de dois meses antes da amostra empacotada do
BIRDDOG. Descompactar uma dessas amostras revelou que era um sinalizador DNS Cobalt Strike
conectando-se ao domínio ‘jardinoks.com’”, contam os pesquisadores.
A
comparação das amostras sugere que o empacotador usado para o backdoor BIRDDOG
é uma versão atualizada do empacotador usado para o sinalizador DNS Cobalt
Strike.
Segundo
o Sentinel Labs, é provável que o criminoso que desenvolve a ferramenta de
comprometimento usada pelo Black Basta seja o mesmo criminoso com acesso ao
código-fonte do empacotador usado nas operações do FIN7, estabelecendo assim
pela primeira vez uma possível conexão entre os dois grupos.
O FIN7
é um grupo com motivação financeira que está ativo desde 2012 executando várias
operações que atacam várias empresas, de todos os setores. O grupo também é
conhecido como “Carbanak”, o nome do backdoor que eles usam, mas há também
grupos diferentes que usavam o mesmo malware e que são rastreados de forma
diferente.
Inicialmente,
o FIN7 usava malware POS (Point of Sale) para realizar fraudes financeiras. No
entanto, desde 2020 eles mudaram para operações de ransomware, filiando-se ao
REvil Conti, realizando suas próprias operações: primeiro como Darkside e
depois renomeado como BlackMatter.
Neste
ponto, é provável que o FIN7 ou um afiliado tenha começado a escrever
ferramentas do zero para desassociar suas novas operações das antigas. Com base
em sua análise, o Sentinel Labs acredita que a ferramenta personalizada de
comprometimento descrita acima é uma delas.
A
colaboração com outros pesquisadores terceirizados forneceu uma infinidade de
dados que apoiam ainda mais a hipótese do laboratório da SentinelOne. No início
de 2022, o agente da ameaça (criminoso) parece ter realizado testes de detecção
e simulações de ataque usando vários métodos de entrega para droppers,
estruturas Cobalt Strike e Meterpreter C2, bem como ferramentas e plugins
personalizados. A atividade simulada foi observada meses depois, durante outros
ataques. A análise dessas simulações também forneceu alguns endereços IP que o
Sentinel Labs acredita serem atribuídos ao agente da ameaça.
Sobre
a CLM
CLM é
um distribuidor latino-americano, de valor agregado, com foco em segurança da
informação, proteção de dados, infraestrutura para data centers e cloud. A
empresa recebeu recentemente três prêmios: o de melhor distribuidor da América
Latina pela Nutanix, prêmio conquistado pela qualidade e agilidade nos serviços
prestados aos canais; o prêmio Lenovo/Intel Best Growth LA Partner oferecido à
empresa que mais se destacou pelo crescimento das vendas; e o Infor Channel
Distribution Excellence, uma conquista que se deve ao compromisso da CLM com a
excelência e busca incansável de fornecer as melhores soluções e serviços aos
parceiros de negócios.
Com
sede em São Paulo, a empresa possui coligadas nos EUA, Colômbia, Peru e Chile.
Com extensa rede de VARs na América Latina e enorme experiência no mercado, a
CLM está constantemente em busca de soluções inovadoras e disruptivas para
fornecer cada vez mais valor para seus canais e seus clientes.
Sobre
o Sentinel Labs:
O Sentinel Labs é um espaço aberto para que pesquisadores de ciberameaças e colaboradores aprovados pela SentinelOne compartilhem de forma confiável suas últimas descobertas com a comunidade de ciberdefensores. Sem discursos de vendas, o laboratório caça, reverte, desenvolve exploits e lança luz sobre o mundo de malwares, exploits, APTs e cibercrimes em todas as plataformas. O Sentinel Labs incorpora o compromisso da SentinelOne de compartilhar abertamente – fornecendo ferramentas, contexto e insights – para fortalecer sua missão coletiva de uma vida digital mais segura para todos.
Nenhum comentário