Novo ransomware desabilita sistemas de segurança

0

A CLM, distribuidor latino-americano de valor agregado com foco em segurança da informação, proteção de dados, infraestrutura para data centers e cloud, alerta para novos ataques de ransomware que usam ferramentas personalizadas de evasão de EDR – Endpoint Detection and Response. Trata-se do ransomware Black Basta, que vem usando técnicas, até então desconhecidas, capazes de desabilitar sistemas de segurança como o Windows Defender, obter acesso privilegiado e se camuflar no sistema.

A descoberta foi feita pelos pesquisadores do Sentinel Labs, laboratório de pesquisas sobre crimes digitais da SentinelOne, cuja solução de proteção contra Ransomware e outros malwares é baseada em inteligência artificial.

O CEO da CLM, Francisco Camargo, explica que os pesquisadores do Sentinel Labs descreveram as táticas, técnicas e procedimentos operacionais do Black Basta, em um relatório detalhado que mostra a seriedade dos estudos divulgados em espaço aberto. "Na análise os pesquisadores descobriram que o Black Basta instala ferramentas personalizadas, seus ataques usam uma versão camuflada do ADFind e exploram as vulnerabilidades PrintNightmare, ZeroLogon e NoPac para escalonamento de privilégios".

Além disso, continua o executivo, os cibercriminosos iniciam suas ofensivas com um Qakbot, entregue por e-mail e documentos do MS Office, que contenham macros, droppers ISO+LNK e documentos .docx que exploram a vulnerabilidade de execução remota de código MSDTC, CVE-2022-30190. "Depois de usar meticulosas técnicas de invasão, inclusive se tornando o administrador do sistema com uma senha própria, eles cobrem seus rastros", descreve Camargo.

Black Basta mantém e implanta ferramentas personalizadas

Em seu relatório, o Sentinel Labs explica que o Black Basta usa diversos métodos para movimento lateral, implantando diferentes scripts, em lote, por meio de Psexec em diferentes máquinas para automatizar o encerramento de processos e serviços e prejudicar as defesas. O ransomware também foi implantado em várias máquinas via psexec.

Nos incidentes mais recentes do Black Basta, o Sentinel Labs observou um arquivo em lote chamado SERVI.bat implantado por meio do psexec em todos os terminais da infraestrutura de destino. Esse script, instalado pelo invasor, tem o objetivo de eliminar serviços e processos para maximizar o impacto do ransomware, excluir as cópias shadow e eliminar determinadas soluções de segurança.

O ransomware Black Basta surgiu em abril de 2022 e invadiu mais de 90 organizações até setembro de 2022. A rapidez e o volume de ataques provam que os atores por trás do Black Basta são bem organizados e com bons recursos. Segundo os pesquisadores do Sentinel Labs, ainda não houve indicações de que o Black Basta esteja recrutando afiliados ou se anunciando como RaaS – Ransomware as a Service – nos fóruns da darknet ou mercados de crimeware.

Isso tem levado a muita especulação sobre a origem, identidade e operação do grupo.

A pesquisa indica que os indivíduos por trás do ransomware Black Basta desenvolvem e mantêm seu próprio kit de ferramentas e excluem afiliados ou apenas colaboram com um conjunto limitado e confiável (para eles) de afiliados, de maneira semelhante a outros grupos de ransomware 'privados', como Conti, TA505 e Evilcorp.

Velhos conhecidos por trás do novo ransomware

O SentinelLabs avalia que é provável que o desenvolvedor dessas ferramentas de evasão de EDR seja ou tenha sido o desenvolvedor do FIN7. Segundo os pesquisadores, o ecossistema de crimeware está em constante expansão, mudança e evolução. O FIN7 (ou Carbanak) é frequentemente creditado por inovar no espaço criminal, levando os ataques contra bancos e sistemas PoS a novos patamares, muito além dos esquemas de seus pares.

"À medida que consigamos esclarecer a mão por trás da indescritível operação de ransomware Black Basta, não ficaríamos surpresos ao encontrar um rosto familiar por trás dessa ambiciosa operação. Embora existam muitos rostos novos e ameaças diversas no espaço de ransomware e extorsão dupla, é esperado ver as equipes criminosas profissionais existentes dando seu próprio toque na maximização de lucros ilícitos de novas maneiras", avaliam.

O Sentinel Labs começou a rastrear as operações do Black Basta no início de junho, depois de perceber sobreposições entre casos ostensivamente diferentes. Juntamente com outros pesquisadores, o Sentinel Labs observou que as infecções do Black Basta começavam com o Qakbot, entregue por meio de phishing por e-mail, bem como por documentos do MS Office que utilizam macros, droppers ISO+LNK e documentos .docx onde pode ser explorada a vulnerabilidade de execução remota de código MSDTC, CVE-2022-30190.

Um dos vetores de acesso inicial observado foi um dropper ISO enviado como "Report Jul 14 39337.iso" que explora o sequestro de DLL (Dynamic-link library biblioteca de vínculo dinâmico da Microsoft), no calc.exe. Uma vez que o usuário clica em "Report Jul 14 39337.lnk" dentro do dropper ISO, o malware executa o comando cmd.exe /q /c calc.exe que permite o sequestro de DLL dentro do código calc, executando a DLL Qakbot, WindowsCodecs.dll. Vale lembrar que "dropper" é um tipo de trojan que baixa um malware no computador da vítima.

O Qakbot obtém uma posição persistente no ambiente da vítima definindo uma tarefa agendada que faz referência a um PowerShell malicioso armazenado no registro, atuando como ouvinte e loader (carregador).

O processo powershell.exe continua a se comunicar com diferentes servidores, esperando que um operador criminoso envie um comando para ativar recursos de pós-exploração.

Quando o operador se conecta ao backdoor, geralmente horas ou dias após a infecção inicial, um novo processo explorer.exe é criado e um processo de esvaziamento é executado para ocultar atividades maliciosas por trás do processo legítimo. Essa operação de injeção ocorre sempre que um componente do framework Qakbot é chamado ou para qualquer processo arbitrário executado manualmente pelo invasor.

Introdução do operador Black Basta

O reconhecimento manual é realizado quando o operador do Black Basta se conecta à vítima por meio do backdoor do Qakbot. Os utilitários de reconhecimento usados pelo operador são armazenados em um diretório com nomes enganosos como "Intel" ou "Dell", criados na unidade raiz C:\.

A primeira etapa em um comprometimento do Black Basta geralmente envolve a execução de uma versão oculta da ferramenta AdFind, chamada AF.exe.

cmd /C C:\intel\AF.exe -f objectcategory=computer -csv name cn OperatingSystem dNSHostName > C:\intel\[REDACTED].csv

Esse estágio também envolve o uso de dois assemblies .NET personalizados, que são carregados na memória para realizar tarefas de coleta de informações. Esses assemblies não estão ofuscados e seus principais nomes são, "Processess" e "GetOnlineComputers", o que fornece boa pista sobre suas reais funções.

Os operadores Black Basta foram observados usando as estruturas SharpHound e BloodHound para enumeração do AD (Active Directory) por meio de consultas LDAP.

Para instalação na rede, o Black Basta usa o scanner de rede SoftPerfect, netscan.exe. Além disso, o serviço WMI é aproveitado para enumerar as soluções de segurança instaladas.

wmic /namespace:\\root\SecurityCenter2 PATH AntiVirusProduct GET /value
wmic /namespace:\\root\SecurityCenter2 PATH AntiSpywareProduct GET /value
wmic /namespace:\\root\SecurityCenter2 PATH FirewallProduct GET /value

Técnicas de escalonamento de privilégio Black Basta

Além do estágio de reconhecimento, o Black Basta tenta escalar privilégios no nível local e de domínio por meio de uma variedade de explorações. O Sentinel Labs viu o uso de ZeroLogon (CVE-2020-1472), NoPac (CVE-2021-42287, CVE-2021-42278) e PrintNightmare (CVE-2021-34527).

Há duas versões do exploit ZeroLogon em uso: uma versão ofuscada, instalada como zero22.exe e uma versão não ofuscada instalada como zero.exe. "Em uma intrusão, observamos o operador Black Basta explorando a vulnerabilidade PrintNightmare e descartando o spider.dll como a carga útil. A DLL cria um novo usuário administrador com nome de usuário "Crackenn" e senha '*aaa111Cracke'" contam os pesquisadores.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.