Cuentos de las trincheras; una historia de Lockbit Ransomware


En colaboración con Northwave

Como destacamos anteriormente en dos blogs, los ataques de ransomware dirigidos han aumentado enormemente en los últimos meses. En nuestro primer artículo, discutimos el patrón creciente de ataques de ransomware dirigidos donde la etapa de infección primaria es a menudo un tipo de malware que roba información y se usa para obtener credenciales / acceso para determinar si el objetivo sería valioso para un ataque de ransomware. En la segunda parte, describimos la fase de reconocimiento de un atacante que controla un host infectado o una cuenta válida para acceder a un servicio remoto. Muchos de ellos están utilizando un modus operandi manual similar al que destacamos en los blogs anteriores.

Creemos que hay una oportunidad real de aprender de los casos de respuesta a incidentes y ataques anteriores, de ahí que este blog se denomine "cuentos de las trincheras". En colaboración con Northwave, este artículo describe un caso de la vida real de un ataque de ransomware dirigido. Durante una de sus respuestas a incidentes recientes, Northwave se encontró con una familia relativamente nueva de ransomware llamada LockBit que realizaba un ataque dirigido. Visto por primera vez a fines de 2019, bajo el nombre de virus .abcd, este ransomware fue más una revisión que una evolución en comparación con los ataques anteriores. Al igual que las publicaciones anteriores en esta serie de blogs, describimos las diferentes etapas del ataque y la recuperación, incluido un análisis exhaustivo del ransomware y los atacantes detrás de él.

En este blog cubriremos:

Mapa de telemetría de LockBit

Recolectamos telemetría a través de nuestra base de datos McAfee Global Threat Intelligence GTI en las diferentes muestras de LockBit que analizamos en nuestra investigación. La propagación global es actualmente limitada, ya que este ransomware es relativamente nuevo y está fuertemente dirigido.

Figura 1: Mapa de telemetría

Acceso inicial

Como en todos los casos de ransomware, el atacante tiene que obtener acceso inicial a la red de alguna manera. En este caso particular, el atacante realizó un ataque de fuerza bruta en un servidor web que contenía un servicio VPN desactualizado. Según nuestra investigación, la fuerza bruta tardó varios días en descifrar la contraseña de la cuenta del "Administrador". Con esta cuenta, perteneciente al grupo de administradores, el atacante obtuvo de inmediato las proverbiales "llaves del reino" con todos los permisos necesarios para realizar un ataque exitoso. Desafortunadamente, este no es un caso único; Los sistemas externos deben tener siempre habilitada la autenticación multifactor cuando sea posible. Además, una organización de seguridad debe tener una estrategia de privilegios mínimos cuando se trata de acceder a los sistemas. Los atacantes de ransomware dirigidos están aprovechando con éxito el "factor humano" integralmente. Ya no es el típico "usuario final que hace clic en un enlace malicioso" lo que causa el bloqueo completo de una empresa. El factor humano en los ataques dirigidos de ransomware es mucho más profundo. Los atacantes aprovechan con éxito las debilidades en la política de seguridad y las configuraciones incorrectas en toda una organización; del usuario final al administrador del dominio.

Infiltrando la red

Para infiltrarse en la red, el atacante tuvo que tomar varios pasos para asegurarse de que el ataque del ransomware fue exitoso. Un atacante siempre quiere infectar tantos sistemas como sea posible para detener efectivamente el proceso comercial e instar a la víctima a pagar el rescate.

Credenciales y privilegios

Como se mencionó anteriormente, el atacante logró adivinar la contraseña de la cuenta del administrador mediante un ataque de fuerza bruta. Con esto, el atacante inmediatamente tuvo todos los privilegios necesarios para implementar el ransomware con éxito. En otros casos, como describimos en nuestro segundo blog, el atacante a menudo utiliza marcos conocidos posteriores a la explotación, para la escalada de privilegios, el movimiento lateral y la realización de acciones adicionales en su objetivo. Dado que algunos de estos marcos están fácilmente disponibles, a menudo llamamos a esto la "GitHubification" de las herramientas de ataque. Sin embargo, en este caso, el atacante podría omitir este paso y continuar con el reconocimiento de la red y la implementación del ransomware de inmediato, ya que una cuenta con altos privilegios ya estaba comprometida.

Movimiento lateral

Con la cuenta de nivel de administrador, el atacante usó SMB para realizar el reconocimiento de la red, lo que resultó en una descripción general de los hosts accesibles. Posteriormente, el atacante utilizó el servidor interno de acceso remoto de Microsoft (RAS) para acceder a estos sistemas utilizando el administrador o la cuenta LocalSystem. La cuenta LocalSystem es una cuenta integrada de Windows. Es la cuenta más autorizada en una instancia local de Windows (más potente que cualquier cuenta de administrador). Usando estas cuentas, el atacante era dueño de estos sistemas y podía hacer lo que quisiera, incluso desactivar cualquier producto de seguridad de punto final. Curiosamente, tanto el movimiento lateral como el despliegue del ransomware fueron completamente automatizados.

Despliegue del ransomware

Este caso específico fue un clásico hit and run. Después de obtener acceso al sistema inicial utilizando la cuenta de administrador forzada, el atacante inició sesión e implementó el ransomware casi de inmediato. Para el atacante, este fue un proceso relativamente sencillo ya que el ransomware se propaga solo. La implementación del ransomware en un único host le indicó a los demás hosts de la red que ejecutaran el siguiente comando de PowerShell:

Figura 2: ejecución de PowerShell para descargar LockBit

Este comando recupera un archivo .png de un sitio web que probablemente se ha visto comprometido. Hay dos versiones del archivo .png, una para .NET versión 4 y otra para la versión 3.5. El comando PowerShell verifica qué versión necesita al obtener el número de versión del Common Language Runtime que ejecuta el proceso actual. Si esto comienza con "V4", se descarga el .png para la versión 4; de lo contrario, descarga el .png para la versión 3.5 a través de las siguientes URL:

  • https: // espet (.) se / images / rs35.png
  • https: // espet (.) se / images / rs40.png

Lo interesante en este caso es que cada host distinto descarga el ransomware. Por lo tanto, el atacante solo necesitaba acceso a un sistema con una cuenta que tenga suficientes privilegios para que todos los demás hosts de la red lo descarguen y lo ejecuten automáticamente.

Análisis de malware

Para nuestro análisis, utilizaremos el archivo encontrado en nuestra investigación, cuyos detalles son:

Nombre de archivo: rs35.png
SHA1 488e532e55100da68eaeee30ba342cc05810e296
SHA256 ca57455fd148754bf443a2c8b06dc2a295f014b071e3990dd99916250d21bc75
Talla 546,00 KB
PDB c: users user work code dotnet regedit-64 regedit-64 obj release rs35.pdb
guid 84e7065-65fe-4bae-a122-f967584e31db

Análisis técnico

El archivo que encontramos en nuestra investigación era un cuentagotas renombrado como archivo .png. Cuando abrimos los archivos .png por primera vez, esperábamos un archivo de imagen real, quizás con algo de esteganografía en su interior, pero lo que vimos en su lugar fue el encabezado de un ejecutable portátil, por lo que esta vez no hay imágenes de esteganografía. El PE se compiló en Microsoft Visual C # v7.0 / Basic .NET, .NET ejecutable -> Microsoft.

Figura 3: Análisis estático de LockBit

En cuanto a la entropía, también parece bastante ordenado, ya que no muestra secciones perdidas o grandes picos en el gráfico. Este comportamiento indica que el escritor del malware no utilizó la ofuscación.

Figura 4: Análisis de entropía

Figura 5: visualización de Portex de LockBit

Este archivo es un lanzador .NET. El examen de la función Main () en el código muestra que una matriz que contiene una cadena base64 encriptada AES particularmente larga (en la variable llamada 'exeBuffer') lleva el ejecutable para el ransomware real.

Figura 6: búfer de inicio .NET

Esta cadena encriptada se desencripta utilizando la clave ENCRYPTION29942. Los primeros 32 bytes de la cadena larga ExeBuffer se usan como sal en el esquema de cifrado, donde ENCRYPTION29942 es la frase de contraseña.

Figura 7: Llamadas y funciones del iniciador

Sorprendentemente, el script verifica la existencia de vbc.exe en su host designado. Por lo general, este binario es un ejecutable firmado digitalmente de Microsoft; sin embargo, en este caso, el malware lo usa para vaciar procesos.

Al analizar estáticamente el archivo, podemos detectar el uso de:

  • NtUnmapViewOfSection
    • LockBit usa esta API para desasignar el código original en ejecución
  • NtWriteVirtualMemory
    • El malware escribe la dirección base de la imagen inyectada en el PEB a través de NtWriteVirtualMemory
  • VirtualAllocEx
    • Para asignar el espacio antes de inyectar el código malicioso

La utilidad VBC es el compilador visual básico para Windows y LockBit lo usa para compilar y ejecutar el código sobre la marcha directamente en ejecución. Si la utilidad vbc no existe en el sistema, el malware descarga el archivo vbc.exe original de la misma URL maliciosa como se vio anteriormente. Después de ejecutar vbc.exe, el malware reemplaza los objetos en la memoria con el código para implementar el ransomware (como se deduce del exeBuffer).

Figura 8: Si VBC no existe, el iniciador lo descargará

Análisis de carga útil

El análisis del exeBuffer muestra varios elementos atractivos. Comienza con un bypass UAC a través de 3E5FC7F9-9A51-4367-9063-A120244FBEC7 explotando el ICMLuaUtil elevado COM Interface-Object (1), como se ve en otras familias de ransomware como Trickbot y MedusaLocker.

Posteriormente, el script usa otra variante de la derivación UAC. El CLSID D2E7041B-2927-42fb-8E9F-7CE93B6DC937 se refiere al objeto COM ColorDataProxy que se clasifica como el mismo método de omisión en UACME # 43 (2) de hfiref0x.

Para ser más sigiloso, el ransomware LockBit carga sus módulos dinámicamente en lugar de tenerlos codificados en el IAT y usa LoadLibraryA. Este método se emplea para evitar la detección por motores estáticos.

Figura 9. Nombre de los módulos en el código.

En ejecución, el malware accede al Service Manager utilizando la función "OpenSCManagerA" y guarda el identificador. Comprueba si falla el último error con la función "GetLastError", contra el error ERROR_ACCESS_DENIED.

Figura 10. Acceso al administrador de servicios

Al acceder al Administrador de servicios, LockBit crea un subproceso para administrar los servicios, finalizar los procesos y eliminar los volúmenes secundarios más el contenido de la papelera de reciclaje.

En este hilo, el malware tiene el nombre de servicios que intentará administrar codificados para tratar de hacerlos más ofuscados:

Figura 11. Nombres de servicio codificados

La lista de servicios que LockBit intenta detener son:

  • DefWatch (Symantec Antivirus)
  • ccEvtMgr (Norton AntiVirus Event Manager)
  • ccSetMgr (Servicio de administrador de configuración de cliente común de Symantec)
  • SavRoam (Symantec Antivirus)
  • sqlserv
  • sqlagent
  • sqladhlp
  • Culserver
  • RTVscan (programa antivirus Symantec)
  • sqlbrowser
  • SQLADHLP
  • QBIDPService (QuickBookspor Intuit.)
  • QuickBoooks.FCS (QuickBookspor Intuit.)
  • QBCFMonitorService (QuickBookspor Intuit.)
  • sqlwriter
  • msmdsrv (análisis de Microsoft SQL Server o Microsoft SQL Server)
  • tomcat6 (Apache Tomcat)
  • Zhundongfangyu (esto pertenece al producto de seguridad 360 de la compañía Qihoo)
  • vmware-usbarbitator64
  • convertidor de vmware
  • dbsrv12 (Crea, modifica y elimina los servicios de SQL Anywhere).
  • dbeng8 (programa de base de datos Adaptive Server Anywhere versión 8 de Sybase)
  • contenedor (¿Servicio Java?)

Si uno de estos servicios es encontrado por el malware que consulta el estado del mismo, con la función "QueryServiceStatusEx", LockBit obtendrá todos los módulos dependientes cuando sea correcto y seguro y detendrá el servicio con la función "ControlService".

Figura 12. Detención del servicio de destino

LockBit preparará cadenas ofuscadas Unicode que contienen un comando para eliminar los volúmenes sombra y deshabilitar las protecciones en el próximo arranque del sistema.

Figura 13. Prepare los comandos para eliminar volúmenes de sombra y deshabilitar las protecciones en el arranque

El malware tiene estas cadenas en la sección rdata, como se observa ampliamente en todas las familias de malware, y en su propio código como se muestra en las capturas de pantalla anteriores. El malware usa ambas cadenas.

Durante su ejecución, LockBit creará una instantánea de los procesos que se ejecutan en el sistema y buscará para ver si ciertos procesos son parte de esta lista con la función "OpenProcess" y, en caso de que el proceso esté presente, lo finalizará con el Función "Terminar proceso".

La lista de procesos que LockBit verificará son:

wxServer wxServerView
sqlservr RAgui
supervisar Cultura
RTVScan DefWatch
sqlbrowser winword
QBW32 QBDBMgr
qbupdate QBCFMonitorService
Axlbridge QBIDPService
httpd fdlauncher
MsDtSrvr tomcat6
zhudongfangyu vmware-usbarbitator64
convertidor de vmware dbsrv12

Esta "función de verificación de proceso" se realiza mediante un truco utilizando la función "PathRemoveExtensionA" y eliminando la extensión .exe de la lista. Usando esta técnica, el proceso de verificación es más ofuscado.

Figura 14. Elimine la extensión y verifique el nombre del proceso

En nuestro análisis, vimos cómo el ransomware usa dinámicamente la función "IsWow64Process" para verificar si el sistema operativo víctima ejecuta un sistema x64 y luego usa las funciones "Wow64DisableWow64FsRedirection" y "Wow64RevertWow64FsResdirection". Si el malware puede acceder a las funciones, usará el primero para destruir todos los volúmenes ocultos y las protecciones del sistema operativo en el próximo arranque y, más tarde, recuperará la redirección con la otra función. En el caso de que no pueda obtener estas funciones, LockBit eliminará el volumen oculto directamente a través de la función "ShellExecuteA" o con la función "CreateProcessA".

La eliminación de archivos dentro de la papelera de reciclaje se ejecuta con la función "SHEmptyRecycleBinW".

Figura 15. Eliminar el contenido de la papelera de reciclaje

El análisis estático de la muestra muestra que LockBit verificará la máquina para ver si es compatible con las instrucciones AES en el procesador con el código de operación "cpuid".

Figura 16. Verifique el soporte de instrucciones AES en la CPU

Otra comprobación realizada por el ransomware es la existencia del conjunto de instrucciones SS2:

Figura 17. Verifique las instrucciones de SSE2 en la CPU

Después de terminar este proceso, el malware intentará eliminarse con el siguiente comando usando "ShellExecuteExW":

Imagen 18. Eliminación automática del malware

La nota de rescate

La nota de rescate es bastante compacta porque el autor codificó el contenido directamente en el código sin usar ninguna ofuscación o cifrado. El archivo de texto que contiene la nota de rescate se crea en cada directorio después del cifrado y se llama Restore-My-Files.txt.

Figura 19: Contenido que se coloca en Restore-My-Files.txt

Información de la víctima almacenada en la clave de registro

LockBit en ejecución creará dos claves en el sistema infectado con los valores full y public.

Esas claves se crean en la siguiente colmena HKEY_CURRENT_USER SOFTWARE LockBit. Los datos almacenados en estas claves pertenecen a la víctima infectada para poder identificarlos en el futuro.

Figura 20: claves de registro de LockBit

Por último, después de finalizar el cifrado, el fondo de escritorio se cambia a un mensaje para el usuario, que dice que LockBit cifró el host.

Figura 21: fondo de pantalla de LockBit después del cifrado

LockBit Filemarker

Algunos de los ransomware que analizamos comparten un marcador de archivo común en todos los archivos cifrados para verificar el origen. Este marcador digital se puede utilizar allí en el panel de control para verificar que este fue el ransomware que cifró los archivos.

Este es un ejemplo para la primera versión de LockBit, donde el marcador de archivo estaba usando:

C8 41 D0 BE AB 3F 0D 59 7B BF CF 40 C8 81 63 CD

Si comparamos dos archivos cifrados, podemos detectar cómo coincide el marcador del archivo en ambos archivos cifrados:

Figura 22: marcador de archivo utilizado por LockBit

Difusión SMB

Analizando LockBit en nuestro entorno, identificamos la posibilidad de propagarse localmente en la misma red local. Analizando el tráfico de la red, detectamos el uso de múltiples solicitudes ARP para encontrar otros hosts en el mismo segmento de red.

Figura 23: Tráfico de LockBit ARP capturado en el análisis

Si estas solicitudes ARP finalmente encuentran un host vivo, LockBit iniciará una conexión SMB legítima para poder implementar el ransomware en otras máquinas.

Figura 24: tráfico de LockBit SMB capturado en el análisis

Si la conexión SMB es exitosa, LockBit ejecutará el siguiente comando de PowerShell para descargar el iniciador .NET que descomprimirá y ejecutará LockBit en un nuevo sistema:

Evolución de LockBit Ransomware:

LockBit es nuevo en la escena, pero notamos que los autores agregaron varias características nuevas y mejoraron el ransomware varias veces. Eso significa que hay un grupo activo detrás de él que probablemente esté recibiendo comentarios sobre sus acciones. Este es un ejemplo del ciclo de desarrollo; Este gráfico fue extraído, analizando estáticamente todas las funciones internas y comparándolas entre las muestras:

Para esta investigación, encontramos diferentes versiones de LockBit con diferentes características entre ellas:

LockBit Versión 1

Esta primera versión contiene características únicas en comparación con otras versiones que encontramos en la naturaleza.

Estas características son:

  • IPLO (servicio de geolocalización de IPLogger)
  • Persistencia a través de la interfaz COM y la ejecución de la versión actual de HIVE
  • Una extensión diferente utilizada en los archivos cifrados
  • Archivo de depuración creado con fines de depuración
  • ALTO uso de CPU en el proceso de cifrado
  • La reutilización de un MUTEX observado en otras familias de ransomware

Servicio de geolocalización IPLO.RU:

Uno de los elementos interesantes que encontramos fue que LockBit intenta identificar la ubicación geográfica de la víctima, a través de la URL IPLO.RU, solicitando un archivo TXT estático en ese servicio.

Figura 25: Tráfico de geolocalización LockBit IPLO.RU capturado en el análisis

La comunicación a esta página es a través de HTTPS; Interceptamos el tráfico para obtener la respuesta del servidor remoto:

Figura 26: tráfico descifrado SSL

Analizando estáticamente el código en LockBit, encontramos que esta URL no se resuelve dinámicamente en ejecución; está codificado en el binario:

Figura 27: URL codificada del servicio IPLO

Creación de persistencia a través de la versión actual Ejecutar y el calendario de tareas COM

Hay muchas formas de ganar persistencia en un sistema. Esta primera versión de LockBit usa un cronograma de tareas a través de la interfaz COM para ganar persistencia.

Figura 28: Persistencia usando la interfaz COM

LockBit también usa un método de persistencia de reinicio mediante el uso de la sección del registro de Windows:

HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Run

El uso de la colmena CurrentVersion Run sirve para sobrevivir al reinicio si el sistema se apaga.

LockBit está utilizando dos métodos de persistencia, CLSID y CurrentVersion Run

Extensión .abcd utilizada:

La primera versión de LockBit usa la extensión .abcd cada vez que cifra un archivo; Esta es una diferencia única entre esta versión y las otras versiones encontradas.

Nota de rescate utilizada:

LockBit en esta primera versión utilizó una nota de rescate diferente con un mensaje diferente:

Figura 29: Nota de ransomware LockBit

Archivo de depuración creado en ejecución:

La primera versión de LockBit tiene algunos archivos que se omiten en el proceso de cifrado y cada vez que omite uno creará resultlog6.reg con la información de registro:

Figura 30: archivo de depuración creado por LockBit

Alto uso de CPU:

Analizamos el rendimiento del cifrado y notamos cómo LockBit usa mucho la CPU en el proceso de cifrado:

Figura 31: rendimiento de LockBit en ejecución

PhobosImposter estático MUTEX utilizado:

En octubre de 2019, la comunidad vio cómo PhobosImposter estaba usando el mutex XO1XADpO01 en sus ejecuciones y LockBit utiliza el mismo mutex en esta primera versión. Analizamos el código base de ambas muestras y no encontramos ninguna superposición de código, pero es una cadena bastante aleatoria para usar de manera casual.

Esta es la función utilizada para crear el mutex:

Figura 32. Creación y verificación del mutex codificado

LockBit Versión 2

Esta versión de LockBit salió con los siguientes cambios:

  • Extensión añadida modificada
  • La función de depuración eliminada
  • Algunas de las muestras vinieron empaquetadas con UPX o un empacador Delphi
  • Una muestra firmada digitalmente

Extensión añadida modificada:

Para esta versión, LockBit comenzó a agregar la extensión .lockbit en todos los archivos cifrados como marcador de archivo:

Función de registro de depuración eliminada:

LockBit, en esta nueva versión, eliminó la funcionalidad mediante la cual almacenaba todos los archivos omitidos en el proceso de cifrado.

Entrega de muestra con diferentes protecciones:

En esta versión encontramos muestras de LockBit empaquetadas en UPX y otros empacadores personalizados, agregando ciertas protecciones a las muestras:

  • Uso extenso de PEB durante la ejecución
  • El uso de IsDebuggerPresent, OutputDebugString y GetLastError

Todas estas protecciones están habilitadas por el uso de empacadores en la entrega.

Cambio de mutex:

La versión anterior de LockBit usaba un mutex estático en todos los cifrados pero, en esta versión, cambió para ser un valor dinámico para cada infección.

Muestras firmadas digitalmente:

Para todas las versiones que encontramos para LockBit, solo esta versión tenía una muestra firmada digitalmente:

Figura 33: muestra de LockBit firmada digitalmente

LockBit Versión 3

Nota de ransomware modificada:

Para esta versión, LockBit adaptó la nota de ransomware y usó una nueva:

Figura 34: segunda versión de LockBit de la nota de ransomware

Depuración de LockBit habilitada:

Después de todo el progreso de búsqueda que hicimos, encontramos varias muestras de LockBit con algún tipo de función de estado habilitada, que muestra una ventana de progreso durante el cifrado:

Figura 35: Depuración de LockBit habilitada

Este modo solo estaba disponible para ciertas compilaciones de muestras y la pantalla de estado era diferente según la muestra de LockBit analizada:

Figura 36: Ejemplo de LockBit firmado digitalmente

Cuentos del metro

Cuando investigamos la comunidad clandestina para LockBit, encontramos una publicación en varios foros subterráneos populares. Un actor de amenaza llamado Lockbi o LockBit ofrece LockBit como un ransomware "a medida" como un servicio para socios / afiliados limitados. Sospechamos que el ransomware LockBit es más "a medida", no solo a partir de sus propios anuncios, sino que posteriormente no hemos visto ningún identificador de afiliado presente en el ransomware, que normalmente es una clara señal de que un actor intenta mejorar las operaciones y atender a un número mayor de afiliados

El anuncio proporciona una descripción general que coincide con el comportamiento de LockBit que hemos visto en la naturaleza y de nuestro análisis. Como muchos otros servicios ciberdelincuentes, LockBit no permite el uso del software en ninguno de los países de la CEI. Esto se hace comúnmente para evitar el enjuiciamiento si el actor de la amenaza reside en una de esas naciones.

Lo que también notamos fue una mención sobre multi-threading. Las familias de ransomware a menudo están programadas para ejecutarse con subprocesos múltiples para garantizar un cifrado rápido y general y evitar que el proceso de cifrado se atasque en un archivo grande. Sin embargo, LockBit se anunció específicamente como un solo subproceso y el actor de amenazas Lockbi se asegura de que no haya problemas de velocidad cuando se trata de su capacidad de cifrado.

Figura 37: El anuncio de LockBit

En el anuncio se enumera que una de las características del ransomware es un escáner de subred local y un método de propagación SMB, algo que podemos confirmar en función de nuestro análisis.

También es digno de mención el uso de un Jabber-bot para realizar las funciones esenciales, como chatear, descifrar y prohibir, reemplazando la necesidad de un panel de administración intensivo en mano de obra alojado en algún lugar de Internet.

Figura 38: Perfil de LockBit que incluye el depósito de 10,5 BTC

Parece que LockBit se ha unido a la escena underground con una clara determinación de hacer negocios; Los autores han depositado un depósito de más de 10,5 BTC, un poco menos de 75K USD. Poner un depósito en custodia es una forma de demostrar que el vendedor invierte financieramente y no para estafar a posibles socios. El vendedor perdería su depósito si no cumpliera con su parte del trato. Nuestra telemetría muestra que la actividad de LockBit sigue siendo limitada hoy en día, pero definitivamente podemos esperar ver más ataques de LockBit a medida en el futuro cercano.

Recuperación

Volviendo al caso de la vida real, no hubo copias de seguridad recientes sin conexión. Entonces, con los servidores de respaldo (incluidas las copias de respaldo) también encriptados y una reconstrucción completa no es una opción, no había forma de una recuperación exitosa y rápida que no fuera pagar el rescate.

La perspectiva de McAfee y Northwave es que los rescates no deben pagarse. Pagar no solo respalda el modelo de negocio criminal, sino que, como hemos demostrado en nuestra investigación, también financia otras formas de delincuencia, como el tráfico de drogas en línea.

En este caso específico, la víctima decidió pagar el rescate. El primer paso para la recuperación fue ponerse en contacto con el pirata informático siguiendo las instrucciones de la nota de rescate (Restore-my-files.txt) como se muestra a continuación.

Figura 39: Nota de ransomware LockBit

Curiosamente, a diferencia de los casos conocidos anteriores de LockBit (o virus .abcd) donde el contacto con el atacante se produjo a través de las direcciones de correo electrónico mencionadas en la nota de rescate, en este caso, el atacante desarrolló una 'mesa de ayuda' en línea accesible a través de una dirección .onion . Por útil que sea el pirata informático, incluso proporcionaron instrucciones claras sobre cómo acceder a esta dirección .onion con el navegador Tor. Aunque la nota de rescate afirma que se obtuvieron datos privados, Northwave no encontró ninguna evidencia de esto en los sistemas comprometidos.

Figura 40: página de recuperación de LockBit

La imagen de arriba muestra el servicio de asistencia que el atacante utiliza para comunicarse con sus víctimas. Proporciona la funcionalidad para una prueba en la que se pueden descifrar dos archivos "por garantía", lo que demuestra que el atacante tiene la (s) clave (s) correcta (s) para restaurar los datos. Para esto, siempre es esencial probar archivos de diferentes servidores (críticos) ya que las claves pueden diferir según el servidor. En las negociaciones con un atacante, siempre trate de obtener este conocimiento, ya que también es relevante para su estrategia de recuperación. Si es solo una clave, sabe que puede usar una herramienta para toda la red; sin embargo, si los servidores encriptados usan claves distintas, la recuperación se vuelve cada vez más difícil.

Después de descifrar con éxito dos archivos diferentes (de servidores distintos), comenzó el chat con el atacante. Comenzaron pidiendo un nombre de dominio de red (para identificar a la víctima correcta), luego el atacante abordó la cantidad del rescate. Por lo general, los atacantes investigan adecuadamente a sus víctimas y adaptan la cantidad de rescate en consecuencia, que también fue el caso aquí. Por lo tanto, negociar el monto del rescate no resultó ser útil:

"Sabemos quién eres, así que no juegues juegos de negociación".

Problemas en Hacker Paradise

Posteriormente, al realizar la transacción de bitcoin a la dirección proporcionada, la página del servicio de asistencia se actualizará automáticamente después de seis confirmaciones y mostrará el enlace de descarga para el descifrador.

“Después de 6 confirmaciones de transacciones, en unas pocas horas se descifrará automáticamente el descifrador. No se preocupe, lo obtendrá instantáneamente una vez que esté construido ".

Como no había nada más que hacer que esperar y esperar al descifrador ahora, se intentó obtener más información del atacante preguntando por sus métodos. Vea un fragmento de esta conversación a continuación.

Figura 41: Comunicación del atacante

Las "contraseñas débiles", por supuesto, están completamente en línea con el ataque de fuerza bruta mencionado anteriormente. Además, esta conversación indica que hay un grupo más grande detrás de este ataque, donde los roles entre los diferentes participantes están separados. El servicio de asistencia parece ser un servicio de asistencia real, simplemente siguiendo un guión de acciones.

Después de esperar varias horas y seis confirmaciones más, la herramienta de descifrado debería estar lista para descargar. Sin embargo, aquí es donde las cosas progresaron de manera diferente. Parece haber algunos problemas técnicos que hacen que el descifrador no se genere automáticamente, por lo que el servicio de asistencia se disculpó amablemente. Desafortunadamente, esto continuó durante dos días dudosos con múltiples excusas antes de que el atacante enviara un enlace al descifrador a través del chat. Parecía que no eran efectivos para resolver los problemas técnicos; por lo tanto, eligieron enviarlo a través de SendSpace.

Una vez descargado, la fase de recuperación podría comenzar. En esta fase, todos los servidores fueron descifrados, escaneados y limpiados (o reconstruidos) en una red en cuarentena. Posteriormente, después de implementar las medidas técnicas y de seguridad apropiadas, cada host se unió a una nueva red limpia.

Conclusión

Como destacamos en los dos primeros artículos, los ataques de ransomware dirigidos han aumentado enormemente en los últimos meses. Muchos de ellos están utilizando un patrón de ataque similar, bastante manual, como lo destacamos. En este artículo, proporcionamos una vista en profundidad de una familia relativamente nueva de ransomware llamada LockBit. Basado en un caso de la vida real como lo encontró Northwave, describimos un ataque típico de ransomware que incluye el modus operandi de los atacantes, el proceso de recuperación, una visión en el subsuelo que anuncia el ransomware y un desglose técnico completo del ransomware. Además, durante nuestro análisis, pudimos obtener múltiples muestras del ransomware LockBit con las que podríamos proporcionar una extensa lista de COI. McAfee continuará monitoreando esta amenaza.

Aprenda de los artículos, identifique qué tecnología puede darle visibilidad dentro de su red. ¿Qué fuentes de evidencia digital tiene y puede detectar lo suficientemente rápido como para preservar y responder? Si no pudo evitar la "etapa de acceso inicial", asegúrese de tener una defensa en profundidad sólida al contar con múltiples tecnologías de defensa. En caso de que un ataque de ransomware golpee a su organización, ¿tiene un procedimiento de respaldo adecuado para restaurar con éxito las operaciones por su cuenta? Para consejos adicionales de prevención de ransomware, visite www.NoMoreRansom.org.

Para obtener más información sobre cómo los productos de McAfee pueden defenderse contra este tipo de ataques, visite nuestro blog sobre cómo ENS 10.7 pone el telón de fondo en el ransomware.

TAXONOMÍA DEL INGLETE

ID de técnica Descripción de la técnica
T1107 Eliminación de archivos
T1055 Inyección de proceso
T1112 Modificar registro
T1215 Kernel Módulos y Extensiones
T1060 Claves de ejecución del registro / Carpeta de inicio
T1179 Enganche
T1055 Inyección de proceso
T1179 Enganche
T1124 Descubrimiento de hora del sistema
T1046 Escaneo de servicios de red
T1083 Descubrimiento de archivos y directorios
T1016 Descubrimiento de configuración de red del sistema
T1012 Registro de consultas
T1082 Descubrimiento de información del sistema
T1057 Descubrimiento de procesos
T1063 Descubrimiento de software de seguridad
T1047 Instrumentación de Administración Windows
T1035 Ejecución de servicio
T1075 Pase el hachís

COI

SHA256 Marca de tiempo de compilación
ffbb6c4d8d704a530bdd557890f367ad904c09c03f53fda5615a7208a0ea3e4d 1992: 06: 20
286bffaa9c81abfb938fe65be198770c38115cdec95865a241f913769e9bfd3f 2009: 02: 12
76a77def28acf51b2b7cdcbfaa182fe5726dd3f9e891682a4efc3226640b9c78 2009: 02: 12
faa3453ceb1bd4e5b0b10171eaa908e56e7275173178010fcc323fdea67a6869 2009: 02: 12
70cb1a8cb4259b72b704e81349c2ad5ac60cd1254a810ef68757f8c9409e3ea6 2019: 11: 29
ec88f821d22e5553afb94b4834f91ecdedeb27d9ebfd882a7d8f33b5f12ac38d 2019: 12: 01
13849c0c923bfed5ab37224d59e2d12e3e72f97dc7f539136ae09484cbe8e5e0 2019: 12: 11
6fedf83e76d76c59c8ad0da4c5af28f23a12119779f793fd253231b5e3b00a1a 2019: 12: 17
c8205792fbc0a5efc6b8f0f2257514990bfaa987768c4839d413dd10721e8871 2019: 12: 18
15a7d528587ffc860f038bb5be5e90b79060fbba5948766d9f8aa46381ccde8a 2020: 01: 23
0f5d71496ab540c3395cfc024778a7ac5c6b5418f165cc753ea2b2befbd42d51 2020: 01: 23
0e66029132a885143b87b1e49e32663a52737bbff4ab96186e9e5e829aa2915f 2020: 01: 23
410c884d883ebe2172507b5eadd10bc8a2ae2564ba0d33b1e84e5f3c22bd3677 2020: 02: 12
e3f236e4aeb73f8f8f0caebe46f53abbb2f71fa4b266a34ab50e01933709e877 2020:02:16
0f178bc093b6b9d25924a85d9a7dde64592215599733e83e3bbc6df219564335 2020:02:16
1b109db549dd0bf64cadafec575b5895690760c7180a4edbf0c5296766162f18 2020:02:17
26b6a9fecfc9d4b4b2c2ff02885b257721687e6b820f72cf2e66c1cae2675739 2020:02:17
69d9dd7fdd88f33e2343fb391ba063a65fe5ffbe649da1c5083ec4a67c525997 2020:02:17
0a937d4fe8aa6cb947b95841c490d73e452a3cafcd92645afc353006786aba76 2020:02:17
1e3bf358c76f4030ffc4437d5fcd80c54bd91b361abb43a4fa6340e62d986770 2020:02:17
5072678821b490853eff0a97191f262c4e8404984dd8d5be1151fef437ca26db 2020:02:20
ca57455fd148754bf443a2c8b06dc2a295f014b071e3990dd99916250d21bc75 2020-02-20





Enlace a la noticia original