BlackMatter Ransomware: análise detalhada e recomendações

ransomware

Sumário executivo 

A CISA (Certificação em Auditoria de Sistemas de Informação) emitiu um boletim de segurança sobre o grupo de ransomware “BlackMatter” após um forte aumento de casos visando empresas dos EUA. Para mitigar esses ataques é recomendado que as organizações empreguem autenticação multifator (MFA), e também atualizem software e sistemas vulneráveis, como aqueles que são comumente explorados por grupos de ransomware. 

Background 

Durante o feriado de 4 de julho, o REvil atacou os clientes da Kaseya usando um payload Sodinokibi que, entre seus muitos indicadores de comprometimento (IOC), incluía uma entrada de registro “Blacklivesmatter”. 

Não muito tempo depois o grupo aparentemente desapareceu da dark web, potencialmente em uma tentativa de evitar a atenção da aplicação da lei ou como resultado de alguma ação de remoção. 

Além de ser um indicador interessante de comprometimento na época, a entrada de registro “Blacklivesmatter” aparentemente fornece uma indicação inicial do que está por vir, ou seja, a formação de um grande grupo de ransomware caçador usando o apelido de “BlackMatter”, que, com base em nossa pesquisa, parece ser um amálgama do REvil e do Darkside, pelos membros da equipe e da habilidade. Os grupos exibem fortes semelhanças em suas bases de código, configuração de infraestrutura, técnicas e filosofias operacionais. 

REvil e Darkside, como sabemos, foram dois dos grupos de ransomware mais prolíficos ao longo de 2020 e 2021, com ataques históricos a Colonial Pipeline e JBS, bem como o infame incidente Travelex que viu a organização e seus clientes sofrendo interrupções por meses. 

Alvos 

Embora visando principalmente sistemas baseados em Windows, observamos payloads exclusivas direcionadas a sistemas Linux. As payloads do Linux não criptografam dados; eles agem como cavalos de Tróia de acesso remoto (RATs) para girar para outras máquinas baseadas no Windows. 

Desde a formação da BlackMatter em meados de julho de 2021, a primeira incursão do grupo aparentemente visou uma empresa de arquitetura com sede nos Estados Unidos em, ou por volta de 28 de julho de 2021, cerca de três semanas após o incidente Kaseya. 

A BlackMatter oferece aos agentes de ameaças e afiliados acesso a cargas binárias configuráveis ​​personalizadas para cada vítima que incluem características exclusivas, como uma nota de resgate personalizada, muitas vezes fornecendo prova dos dados roubados, bem como o nome da vítima e seu identificador.

Com base em postagens da dark web por uma identidade que se apresenta como BlackMatter, o grupo está interessado apenas em empresas com receitas anuais superiores a $ 100 milhões e está evitando redes que foram anteriormente comprometidas pela Darkside ou pela REvil. Para incentivar outros a fornecer acesso a novas redes de vítimas em potencial, teoricamente apelando para ameaças internas mal-intencionadas, bem como para operadores de acesso inicial, o grupo oferece uma recompensa de $ 100.000.

Como visto na atividade de recrutamento da REvil durante 2020, a BlackMatter forneceu provas e garantias de sua capacidade de pagar qualquer suposto afiliado depositando 4BTC ($ 247K) no fórum.

Notavelmente, o grupo parece ter como alvo as organizações em países de língua inglesa (listando explicitamente Austrália, Canadá, Reino Unido e Estados Unidos), embora excluam instituições de saúde e governamentais, provavelmente para evitar ações de aplicação da lei locais resultantes de pressão política, especialmente na sequência de um ataque que pode ser considerado um ato de guerra cibernética.

Entrega

Ao contrário de muitos ataques cibernéticos que dependem de phishing para estabelecer uma posição, a BlackMatter parece obter acesso inicial principalmente por meio do comprometimento de dispositivos periféricos vulneráveis ​​e do abuso de credenciais corporativas obtidas de outras fontes.

Embora seja possível que alguns casos extremos vejam o uso de campanhas de spear-phishing e payload de documentos maliciosos, fazendo com que a payload BlackMatter compacta de 80kb seja descartada ou baixada, isso não foi observado em nenhuma investigação que conduzimos.

Além de membros BlackMatter explorando vulnerabilidades de infraestrutura, como aquelas encontradas em desktops remotos, virtualização e dispositivos ou servidores VPN, os operadores de acesso inicial afiliados ao grupo provavelmente trarão seu próprio TTP e podem favorecer a exploração de algumas vulnerabilidades em detrimento de outras.

Além disso, acredita-se que o grupo faça uso de credenciais obtidas de outras fontes, como vazamentos de credenciais de terceiros, amplas campanhas de phishing ou compradas em mercados da dark web, aproveitando a reutilização de credenciais e explorando organizações que não aplicam múltiplos fatores autenticação em serviços voltados para a Internet.

Em muitos casos, o BlackMatter e suas afiliadas parecem oportunistas, acontecendo em organizações vulneráveis ​​potencialmente com base em sua suscetibilidade a um método de intrusão preferido, em vez de investir tempo e esforço em um alvo específico.

Em outros casos, é evidente que a BlackMatter ganhou um conhecimento amplo e íntimo da infraestrutura da vítima com configurações de ransomware específicas, incluindo processos personalizados e nomes de serviço para garantir que sejam encerrados antes da fase de criptografia, bem como uma lista incorporada de credencial de alto privilégio. Essas credenciais podem incluir administrador de domínio ou contas de serviço que fornecem a capacidade de acessar e criptografar dados em toda a rede.

O que podemos dizer sobre a payload?

  • Executável multithread altamente eficiente, escrito em C, que tem apenas 80kb de tamanho.
  • A versão 3.0 oculta a configuração em diferentes locais, dificultando a extração e a análise.
  • Para ocultar o fluxo de execução, cada função é decodificada, carregada na memória, executada e, em seguida, eliminada.
  • Depende de bibliotecas de criptografia nativas do Windows, tornando a payload muito menor.
  • Criptografa arquivos usando uma combinação de chaves Salsa20 e RSA de 1024 bits.
  • Permite que extensões e nomes de arquivos especificados sejam excluídos do processo de criptografia, geralmente para garantir que o Windows ainda inicialize.
  • Não específico para o BlackMatter e usado anteriormente pela Darkside e MedusaLocker, um controle de conta de usuário baseado em COM ICMLuaUtil de quatro anos que afeta o Windows 7 a 10 é usado para elevar privilégios (devido a ser considerado um ‘recurso’ pela Microsoft, nenhuma correção será lançada).
  • A configuração do BlackMatter permite que as credenciais adquiridas anteriormente sejam especificadas e potencialmente usadas com o bypass.
  • Enumera e exclui cópias de sombra usando o utilitário Windows Management Instrumentation Command-Line (WMIC): IWbemServices :: ExecQuery – ROOT \ CIMV2: SELECT * FROM Win32_ShadowCopy
  • O ID da vítima, juntamente com o nome do arquivo da nota de resgate e a extensão do arquivo criptografado, é baseado no valor MachineGuid do Registro (HKLM \ SOFTWARE \ Microsoft \ Cryptography \ MachineGuid).
  • A extensão do arquivo criptografado resultante inclui nove caracteres alfanuméricos de maiúsculas e minúsculas, juntamente com a nota de resgate sendo salva na área de trabalho da vítima e em c: \% extension% -README.txt, e ambos podem escapar de alguns métodos de detecção baseados em dicionário.
  • O processo de criptografia envolve a leitura do arquivo de destino, renomeando-o com a nova extensão, criptografando parcialmente e reescrevendo 1024 KB de dados.
  • Enumera os ambientes do Active Directory usando consultas nativas do LDAP, especificamente a pasta de computadores internos LDAP: // CN = Computadores para identificar potenciais máquinas de destino.
  • Atualiza o papel de parede da área de trabalho da vítima para informá-la da situação:
  • Define a Lista de Controle de Acesso de arquivos criptografados para “Todos”, concedendo acesso a todo e qualquer usuário.
  • Para evitar a detecção e permitir a criptografia de arquivos sem interferência dos controles de segurança, o BlackMatter suporta o uso do ‘modo de segurança’ do Windows com a conta de administrador local integrada sendo habilitada e configurada para login automático junto com a chave de registro run-once sendo definida para executar a payload BlackMatter.
  • A nota de resgate específica avisa a vítima sobre a criptografia e o roubo de dados, aconselhando-a a instalar o pacote do navegador TOR para que o site de negociação dark web possa ser acessado.

No passado, o REvil e o Darkside evitaram a criptografia de máquinas identificadas como pertencentes a países que são membros da Comunidade de Estados Independentes, com base na identificação do código do país usado pelo layout do teclado da vítima.

Isso, combinado com as primeiras postagens em fóruns de cibercrime indicando que apenas falantes nativos de russo estão qualificados para trabalhar com o grupo, fornece uma forte indicação de que os membros fundadores do grupo são originários e operam dentro da região.

Notavelmente, o BlackMatter não parece realizar as mesmas verificações de geolocalização, talvez em uma tentativa de evitar a associação com a região e suas escapadas anteriores.

Comando e controle

A payload se comunicará com a infraestrutura de comando e controle (C2) por HTTPS, criptografada usando AES. A vítima envia um beacon incluindo o nome da máquina, versão do sistema operacional e arquitetura da CPU, idioma do sistema operacional, nome de usuário, nome de domínio, tamanhos de disco e possíveis chaves de criptografia:

Esta comunicação foi observada como personificação das seguintes strings de agente de usuário que podem ser anômalas em alguns ambientes:

  • Mozilla / 5.0 (Windows NT 6.1)
  • Firefox / 89.0
  • Gecko / 20100101
  • Edge / 91.0.864.37
  • Safari / 537.36

Configuração de payload

A configuração BlackMatter, aparentemente uma estrutura JSON, permite que a payload seja adaptada para uma vítima específica, incluindo:

  • Chave pública RSA a ser usada para criptografar a chave de criptografia Salsa20.
  • ID da vítima da empresa
  • Chave AES a ser usada durante a inicialização da chave Salsa20 (usada posteriormente na criptografia de arquivo).
  • Versão do malware bot, mencionando a versão da payload.
  • Odd Crypt Large Files – para danificar ainda mais arquivos grandes, como bancos de dados.
  • Precisa fazer logon – tentará autenticar usando as credenciais mencionadas na configuração.
  • Montar unidades e criptografar – tente montar volumes e criptografá-los.
  • Procura compartilhamentos de rede e recursos AD para tentar criptografá-los também.
  • Os processos e serviços são encerrados antes da criptografia para garantir o máximo impacto.
  • Criação de mutex para evitar a detecção.
  • Preparando os dados da vítima e exfiltrando.
  • Descartando notas de resgate postar criptografia de arquivo.
  • Domínios C2 para comunicação por HTTP ou HTTPS.
  • Definindo uma nota de resgate única.

Recomendações

  • Aplique o MFA sempre que possível.
  • Mantenha os planos de backup bem organizados e operacionais.
  • Empregue processos de gerenciamento de patches em dispositivos externos, como VPNs.
  • Avalie continuamente a postura da organização externa enquanto procura dispositivos acessíveis, como servidores Exchange e vCenter.
  • Alterne as senhas de usuários, administradores e contas de serviço enquanto verifica continuamente se há vazamento de credenciais.
  • Prepare e pratique procedimentos de Resposta a Incidentes para ataques de ransomware.
  • Bloqueie os servidores mencionados e IOCs.

Indicadores de compromisso (IOCs)

Payloads SHA256 do Windows:

  1. 02ec55a8f4f97a84370ca72b03912ae8625d344b7bd1af92a2de4b636183f2ab
  2. 072158f5588440e6c94cb419ae06a27cf584afe3b0cb09c28eff0b4662c15486
  3. 0751c422962dcd500d7cf2cf8bf544ddf5b2fe3465df7dd9b9998f6bba5e08a4
  4. 14a3e308c90183b3785b6c26ec40d29405361cd8dec204a62235733401bf5f5c
  5. 1c63a4fdee1528429886a0de5e89eaa540a058bf27cd378b8d139e045a2f7849
  6. 1eea3cbd729d4493c0c0a84efe6840abf1760efe221dc971d32ca5017b5c19c2
  7. 20742987e6f743814b25e214f8b2cd43111e2f60a8856a6cca87cafd85422f41
  8. 22d7d67c3af10b1a37f277ebabe2d1eb4fd25afbd6437d4377400e148bcc08d6
  9. 2466fca0e29b06c78ffa8a44193fb58c30e6bec4e54bbef8e6622349b95cce4c
  10. 2aad85dbd4c79bd21c6218892552d5c9fb216293a251559ba59d45d56a01437c
  11. 2c323453e959257c7aa86dc180bb3aaaa5c5ec06fa4e72b632d9e4b817052009
  12. 2cdb5edf3039863c30818ca34d9240cb0068ad33128895500721bcdca70c78fd
  13. 2e50eb85f6e271001e69c5733af95c34728893145766066c5ff8708dcc0e43b2
  14. 3a03530c732ebe53cdd7c17bee0988896d36c2b632dbd6118613697c2af82117
  15. 3a4bd5288b89aa26fbe39353b93c1205efa671be4f96e50beae0965f45fdcc40
  16. 4ad9432cc817afa905bab2f16d4f713af42ea42f5e4fcf53e6d4b631a7d6da91
  17. 4be85e2083b64838fb66b92195a250228a721cdb5ae91817ea97b37aa53f4a2b
  18. 520bd9ed608c668810971dbd51184c6a29819674280b018dc4027bc38fc42e57
  19. 5da8d2e1b36be0d661d276ea6523760dbe3fa4f3fdb7e32b144812ce50c483fa
  20. 668a4a2300f36c9df0f7307cc614be3297f036fa312a424765cdb2c169187fe6
  21. 66e6563ecef8f33b1b283a63404a2029550af9a6574b84e0fb3f2c6a8f42e89f
  22. 6d4712df42ad0982041ef0e2e109ab5718b43830f2966bd9207a7fac3af883db
  23. 6e846881115448d5d4b69bf020fcd5872a0efef56e582f6ac8e3e80ea79b7a55
  24. 706f3eec328e91ff7f66c8f0a2fb9b556325c153a329a2062dc85879c540839d
  25. 730f2d6243055c786d737bae0665267b962c64f57132e9ab401d6e7625c3d0a4
  26. 77340f01535db5c80c1f3e725a8f8de17bb227f567b8f568dd339be6ddacf60e
  27. 7f6dd0ca03f04b64024e86a72a6d7cfab6abccc2173b85896fc4b431990a5984
  28. 8323fdfda08300c691d330badec2607ea050cc10ee39934faeebedf3877df3ac
  29. 86c84c07e27cc8aba129e1cf51215b65c445f178b94f2e8c4c10e6bc110daa94
  30. 8eada5114fbbc73b7d648b38623fc206367c94c0e76cb3b395a33ea8859d2952
  31. 8f1b0affffb2f2f58b477515d1ce54f4daa40a761d828041603d5536c2d53539
  32. 98227953d55c5aee2271851cbea3680925d4d0838ee0d63090da143c8d71ac55
  33. 9bae897c19f237c22b6bdc024df27455e739be24bed07ef0d409f2df87eeda58
  34. 9cf9441554ac727f9d191ad9de1dc101867ffe5264699cafcf2734a4b89d5d6a
  35. a5cdca5a8120b5532f6de3395b9b6d411ad9234b857ce17bb3cc5747be6a7dd2
  36. b0e929e35c47a60f65e4420389cad46190c26e8cfaabe922efd73747b682776a
  37. b1891a5375198e262dfe6f83a89574e7aa438f41e2853d5d31e101bcec95cbf3
  38. b3e82b43750c7d0833f69abd3d31751c9e8face5063573946f61abbdda513eb8
  39. b4b9fdf30c017af1a8a3375218e43073117690a71c3f00ac5f6361993471e5e7
  40. b824bbc645f15e213b4cb2628f7d383e9e37282059b03f6fe60f7c84ea1fed1f
  41. c6e2ef30a86baa670590bd21acf5b91822117e0cbe6060060bc5fe0182dace99
  42. c728e3a0d4a293e44314d663945354427848c220d05d5d87cdedd9995fee3dfe
  43. cf60d0d6b05bfe2e51ca9dac01a4ae506b90d78d8d9d0fc266e3c01d8d2ba6b7
  44. d4645d2c29505cf10d1b201826c777b62cbf9d752cb1008bef1192e0dd545a82
  45. d4647619fa2dc8fef5560d1662cbee6eb7dc95298dd40edf12dd4c8ee902d767
  46. daed41395ba663bef2c52e3d1723ac46253a9008b582bb8d9da9cb0044991720
  47. e146f17a53300e19ec480d069b341688127d46198ff0fdd0e059914130d56f56
  48. e4a2260bcba8059207fdcc2d59841a8c4ddbe39b6b835feef671bceb95cd232d
  49. e9b24041847844a5d57b033bf0b41dc637eba7664acfb43da5db635ae920a1b4
  50. eaac447d6ae733210a07b1f79e97eda017a442e721d8fafe618e2c789b18234b
  51. eafce6e79a087b26475260afe43f337e7168056616b3e073832891bf18c299c1
  52. ed47e6ecca056bba20f2b299b9df1022caf2f3e7af1f526c1fe3b8bf2d6e7404
  53. f32604fba766c946b429cf7e152273794ebba9935999986b7e137ca46cd165fc
  54. f7b3da61cb6a37569270554776dbbd1406d7203718c0419c922aa393c07e9884
  55. fe2b2beeff98cae90f58a5b2f01dab31eaa98d274757a7dd9f70f4dc8432a6e2

Payloads do Linux SHA256:

  1. 6a7b7147fea63d77368c73cef205eb75d16ef209a246b05698358a28fd16e502
  2. d4645d2c29505cf10d1b201826c777b62cbf9d752cb1008bef1192e0dd545a82

Domínios:

  • nowautomation [.] com
  • fluentzip [.] org
  • mojobiden [.] com
  • paymenthacks [.] com

Endereços IP:

  • 99,83,154 [.] 118