A CLM, distribuidor latino-americano de valor agregado com foco em segurança da informação, proteção de dados, infraestrutura para data centers e cloud, alerta para novos ataques de ransomware que usam ferramentas personalizadas de evasão de EDR – Endpoint Detection and Response. Trata-se do ransomware Black Basta, que vem usando técnicas, até então desconhecidas, capazes de desabilitar sistemas de segurança como o Windows Defender, obter acesso privilegiado e se camuflar no sistema.
A descoberta foi feita pelos pesquisadores do Sentinel Labs, laboratório de pesquisas sobre crimes digitais da SentinelOne, cuja solução de proteção contra Ransomware e outros malwares é baseada em inteligência artificial.
O CEO da CLM, Francisco Camargo, explica que os pesquisadores do Sentinel Labs descreveram as táticas, técnicas e procedimentos operacionais do Black Basta, em um relatório detalhado que mostra a seriedade dos estudos divulgados em espaço aberto. "Na análise os pesquisadores descobriram que o Black Basta instala ferramentas personalizadas, seus ataques usam uma versão camuflada do ADFind e exploram as vulnerabilidades PrintNightmare, ZeroLogon e NoPac para escalonamento de privilégios".
Além disso, continua o executivo, os cibercriminosos iniciam suas ofensivas com um Qakbot, entregue por e-mail e documentos do MS Office, que contenham macros, droppers ISO+LNK e documentos .docx que exploram a vulnerabilidade de execução remota de código MSDTC, CVE-2022-30190. "Depois de usar meticulosas técnicas de invasão, inclusive se tornando o administrador do sistema com uma senha própria, eles cobrem seus rastros", descreve Camargo.
Black Basta mantém e implanta ferramentas personalizadas
Em seu relatório, o Sentinel Labs explica que o Black Basta usa diversos métodos para movimento lateral, implantando diferentes scripts, em lote, por meio de Psexec em diferentes máquinas para automatizar o encerramento de processos e serviços e prejudicar as defesas. O ransomware também foi implantado em várias máquinas via psexec.
Nos incidentes mais recentes do Black Basta, o Sentinel Labs observou um arquivo em lote chamado SERVI.bat implantado por meio do psexec em todos os terminais da infraestrutura de destino. Esse script, instalado pelo invasor, tem o objetivo de eliminar serviços e processos para maximizar o impacto do ransomware, excluir as cópias shadow e eliminar determinadas soluções de segurança.
O ransomware Black Basta surgiu em abril de 2022 e invadiu mais de 90 organizações até setembro de 2022. A rapidez e o volume de ataques provam que os atores por trás do Black Basta são bem organizados e com bons recursos. Segundo os pesquisadores do Sentinel Labs, ainda não houve indicações de que o Black Basta esteja recrutando afiliados ou se anunciando como RaaS – Ransomware as a Service – nos fóruns da darknet ou mercados de crimeware.
Isso tem levado a muita especulação sobre a origem, identidade e operação do grupo.
A pesquisa indica que os indivíduos por trás do ransomware Black Basta desenvolvem e mantêm seu próprio kit de ferramentas e excluem afiliados ou apenas colaboram com um conjunto limitado e confiável (para eles) de afiliados, de maneira semelhante a outros grupos de ransomware 'privados', como Conti, TA505 e Evilcorp.
Velhos conhecidos por trás do novo ransomware
O SentinelLabs avalia que é provável que o desenvolvedor dessas ferramentas de evasão de EDR seja ou tenha sido o desenvolvedor do FIN7. Segundo os pesquisadores, o ecossistema de crimeware está em constante expansão, mudança e evolução. O FIN7 (ou Carbanak) é frequentemente creditado por inovar no espaço criminal, levando os ataques contra bancos e sistemas PoS a novos patamares, muito além dos esquemas de seus pares.
"À medida que consigamos esclarecer a mão por trás da indescritível operação de ransomware Black Basta, não ficaríamos surpresos ao encontrar um rosto familiar por trás dessa ambiciosa operação. Embora existam muitos rostos novos e ameaças diversas no espaço de ransomware e extorsão dupla, é esperado ver as equipes criminosas profissionais existentes dando seu próprio toque na maximização de lucros ilícitos de novas maneiras", avaliam.
O Sentinel Labs começou a rastrear as operações do Black Basta no início de junho, depois de perceber sobreposições entre casos ostensivamente diferentes. Juntamente com outros pesquisadores, o Sentinel Labs observou que as infecções do Black Basta começavam com o Qakbot, entregue por meio de phishing por e-mail, bem como por documentos do MS Office que utilizam macros, droppers ISO+LNK e documentos .docx onde pode ser explorada a vulnerabilidade de execução remota de código MSDTC, CVE-2022-30190.
Um dos vetores de acesso inicial observado foi um dropper ISO enviado como "Report Jul 14 39337.iso" que explora o sequestro de DLL (Dynamic-link library biblioteca de vínculo dinâmico da Microsoft), no calc.exe. Uma vez que o usuário clica em "Report Jul 14 39337.lnk" dentro do dropper ISO, o malware executa o comando cmd.exe /q /c calc.exe que permite o sequestro de DLL dentro do código calc, executando a DLL Qakbot, WindowsCodecs.dll. Vale lembrar que "dropper" é um tipo de trojan que baixa um malware no computador da vítima.
O Qakbot obtém uma posição persistente no ambiente da vítima definindo uma tarefa agendada que faz referência a um PowerShell malicioso armazenado no registro, atuando como ouvinte e loader (carregador).
O processo powershell.exe continua a se comunicar com diferentes servidores, esperando que um operador criminoso envie um comando para ativar recursos de pós-exploração.
Quando o operador se conecta ao backdoor, geralmente horas ou dias após a infecção inicial, um novo processo explorer.exe é criado e um processo de esvaziamento é executado para ocultar atividades maliciosas por trás do processo legítimo. Essa operação de injeção ocorre sempre que um componente do framework Qakbot é chamado ou para qualquer processo arbitrário executado manualmente pelo invasor.
Introdução do operador Black Basta
O reconhecimento manual é realizado quando o operador do Black Basta se conecta à vítima por meio do backdoor do Qakbot. Os utilitários de reconhecimento usados pelo operador são armazenados em um diretório com nomes enganosos como "Intel" ou "Dell", criados na unidade raiz C:\.
A primeira etapa em um comprometimento do Black Basta geralmente envolve a execução de uma versão oculta da ferramenta AdFind, chamada AF.exe.
cmd /C C:\intel\AF.exe -f objectcategory=computer -csv name cn OperatingSystem dNSHostName > C:\intel\[REDACTED].csv
Esse estágio também envolve o uso de dois assemblies .NET personalizados, que são carregados na memória para realizar tarefas de coleta de informações. Esses assemblies não estão ofuscados e seus principais nomes são, "Processess" e "GetOnlineComputers", o que fornece boa pista sobre suas reais funções.
Os operadores Black Basta foram observados usando as estruturas SharpHound e BloodHound para enumeração do AD (Active Directory) por meio de consultas LDAP.
Para instalação na rede, o Black Basta usa o scanner de rede SoftPerfect, netscan.exe. Além disso, o serviço WMI é aproveitado para enumerar as soluções de segurança instaladas.
wmic /namespace:\\root\SecurityCenter2 PATH AntiVirusProduct GET /value
wmic /namespace:\\root\SecurityCenter2 PATH AntiSpywareProduct GET /value
wmic /namespace:\\root\SecurityCenter2 PATH FirewallProduct GET /value
Técnicas de escalonamento de privilégio Black Basta
Além do estágio de reconhecimento, o Black Basta tenta escalar privilégios no nível local e de domínio por meio de uma variedade de explorações. O Sentinel Labs viu o uso de ZeroLogon (CVE-2020-1472), NoPac (CVE-2021-42287, CVE-2021-42278) e PrintNightmare (CVE-2021-34527).
Há duas versões do exploit ZeroLogon em uso: uma versão ofuscada, instalada como zero22.exe e uma versão não ofuscada instalada como zero.exe. "Em uma intrusão, observamos o operador Black Basta explorando a vulnerabilidade PrintNightmare e descartando o spider.dll como a carga útil. A DLL cria um novo usuário administrador com nome de usuário "Crackenn" e senha '*aaa111Cracke'" contam os pesquisadores.
