Indian Power Sector apuntado con la última variante de LockBit 3.0 LockBit 3.0: ¡La nueva variante!


Después de que se disolvió el infame grupo de ransomware Conti, sus antiguos miembros comenzaron a apuntar a los sectores de energía y energía con una nueva carga útil de ransomware desconocida. La inteligencia derivada de los investigadores de Quick Heal ya había identificado el sector de Energía y Energía como un segmento propenso a los ataques cibernéticos y había aumentado la vigilancia sobre el mismo. Este monitoreo proactivo resultó fructífero poco después de que identificáramos una de las entidades premium atacadas recientemente en este segmento. Nuestra investigación y análisis determinaron que la nueva variante de ransomware LockBit 3.0 causó la infección. El mismo ha estado reclamando su dominio sobre otros grupos de ransomware este año.

Fig. 1 – Nota de rescate

La entidad que soportó la peor parte de este ataque de ransomware tenía puntos finales en múltiples ubicaciones, conectados entre sí y con el servidor en una topología de malla distribuida en numerosas ubicaciones. De los registros de múltiples sistemas y telemetría, observamos que la herramienta Windows Sys-Internal PSEXEC se utilizó desde un sistema desprotegido para ejecutar la carga útil del ransomware (Lock.exe) en todos los sistemas lateralmente. La observación notable fue que solo se encontró que las unidades compartidas estaban encriptadas.

El acceso inicial se obtuvo a través de técnicas de fuerza bruta donde se usaron múltiples nombres de usuario para el movimiento lateral. La marca de tiempo de cifrado fue en la madrugada del 27 de junio de 2022. También se observaron actividades antiforenses, que borraron registros de eventos, eliminaron varias tareas y eliminaron servicios simultáneamente.

Analisis inicial

Se observó por primera vez que el servicio PSEXESVC se instaló una semana antes del cifrado, y las conexiones SMB exitosas surgieron justo antes del cifrado. Los archivos BAT maliciosos fueron ejecutados por el mismo servicio solo en un punto final:

  • C:\Windows\system32\cmd.exe /c “”openrdp.bat” “
  • C:\Windows\system32\cmd.exe /c “”mimon.bat” ”
  • C:\Windows\system32\cmd.exe /c “”auth.bat” ”
  • C:\Windows\system32\cmd.exe /c “”turnoff.bat” “

PSEXESVC ejecutó la carga útil del ransomware que debe tener una clave válida pasada junto con la opción de línea de comandos ‘-pass’. Los archivos cifrados se adjuntaron con .zbzdbs59d extensión, lo que sugiere que la generación aleatoria se realizó con cada carga útil.

Engine y ARW Telemetry muestran que la carga útil del ransomware (Lock.exe) se detectó en varias ubicaciones el mismo día. Esto muestra que la carga útil se eliminó en todos estos sistemas, pero AV la detectó.

Análisis de carga útil

Todas las secciones de la carga útil están cifradas, lo que solo se puede descifrar omitiendo la clave de descifrado como un parámetro de línea de comandos ‘-pass’. La clave obtenida para esta muestra es: 60c14e91dc3375e4523be5067ed3b111

La clave se procesa aún más para descifrar secciones específicas en la memoria que se obtienen al atravesar el PEB y luego llama a las secciones descifradas.

Fig. 2 – Descifrado de secciones

Al estar empaquetadas y tener solo unas pocas importaciones, las API de Win32 se resuelven descifrando la cadena ofuscada con XOR usando la clave 0x3A013FD5.

Fig. 3 – Resolución de las API de Win32

Escalada de privilegios

Cuando los privilegios de administrador no están presentes durante la ejecución, utiliza CMSTPLUA COM para que la omisión de UAC eleve los privilegios con otra instancia de la carga útil del ransomware, finalizando el proceso actual.

Fig. 4 – Omisión de UAC

Eliminación del servicio y terminación del proceso

Proceso terminado incluido SeguridadSaludSystray.exe, y el mutex creado durante la ejecución fue 13fd9a89b0eede26272934728b390e06. Los servicios se enumeraron utilizando una lista predefinida y se eliminaron si se encontraban en la máquina:

  1. Sentido
  2. Sophos
  3. Sppsvc
  4. Vmicvss
  5. Vmvss
  6. vs
  7. Veeam
  8. wdnissvc
  9. wscsvc
  10. Registro de eventos

Técnica anti-depuración

Los subprocesos utilizados para el cifrado de archivos se ocultaron del depurador mediante NtSetInformationThreadNtSetInformationThread función con valor no documentado (ThreadHideFromDebugger = 0x11) para el parámetro ThreadInformationClass.

Fig. 5 – Técnica NtSetInformationThread

Cifrado de archivos

Antes de iniciar el cifrado de archivos, el malware asociaba un icono a los archivos cifrados al crearlo y escribirlo en un archivo de imagen en el C:\ProgramData directorio como zbzdbs59d.ico. Los archivos se cifraron mediante la creación de varios subprocesos en los que cada nombre de archivo se reemplazó con una cadena aleatoria generada y se les agregó la extensión.

Fig. 6 – Nombres de archivos encriptados

La nota de rescate’zbzdbs59d.README.txt‘ se crea dentro de cada directorio excepto el Archivos de programa y el ventanas directorio, que no están encriptados. Contiene instrucciones para instalar el navegador TOR, enlaces para un chat junto con la identificación personal y termina con las advertencias habituales. El fondo de pantalla de la máquina víctima se modifica con el nombre ‘LockBit Black’ y menciona las instrucciones a seguir:

Fig. 7 – Fondo de pantalla modificado

Actividad Anti-Forense

Como parte de la eliminación de sus rastros, el ransomware deshabilitó los registros de eventos de Windows configurando varias subclaves de registro en el valor 0.

  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Channels\*

Tareas eliminadas

IBM* PrnHtml.exe* DriveLock.exe* MacriumService.exe*
sql* CONCURSO.EXE* CodeMeter.exe* ReflectMonitor.exe*
uve* firefox.exe* DPMClient.exe* Atenet.Service.exe*
sabio* ngctw32.exe* ftpdaemon.exe* servidor_cuenta.exe*
mysql* omtsreco.exe mysqld-nt.exe* policy_manager.exe*
bes10* nvwmi64.exe* sqlwriter.exe* actualizar_servicio.exe*
negro* Tomcat9.exe* Launchpad.exe* BmsPonAlarmTL1.exe*
publicación* msmdsrv.exe* MsDtsSrvr.exe* check_mk_agent.exe*

Servicios eliminados

  • sc detener «Recuperar»
  • sc eliminar «LTService»
  • sc eliminar «LTSvcMon»
  • sc eliminar «WSearch»
  • sc eliminar «MsMpEng»
  • parada neta ShadowProtectSvc
  • C:\Windows\system32\net1 detener ShadowProtectSvc

Instantáneas de volumen eliminadas

  • vssadmin.exe Eliminar sombras / Todo / Silencioso

Eliminación de todas las conexiones de red activas

Lista exhaustiva de todos los registros

Actividad de registro


reg agregar “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System” /v legalnoticecaption /t REG_SZ /d “¡ATENCIÓN a los representantes! Lea antes de iniciar sesión” /f


reg add “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System” /v legalnoticetext /t REG_SZ /d “Se ha probado la seguridad de su sistema y, lamentablemente, era vulnerable. Somos especialistas en encriptación de archivos y espionaje industrial (económico o corporativo). No nos importan sus archivos o lo que hace, nada personal, es solo negocios. Le recomendamos que se comunique con nosotros ya que sus archivos confidenciales han sido robados y se venderán a las partes interesadas a menos que pague para eliminarlos de nuestras nubes y subastar o descifrar sus archivos. Siga las instrucciones en su sistema” /f


registro agregar «HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server» /v fDenyTSConnections /t REG_DWORD /d 0 /f


registro agregar HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA /v RunAsPPL /t REG_DWORD /d 0 /f


registro agregar HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f

Conclusión:

Los sistemas desprotegidos en la red fueron forzados a ejecutar la herramienta PSEXEC para el movimiento lateral a través de los sistemas para ejecutar la carga útil del ransomware. Con LockBit 3.0 presentando su programa de recompensas por errores y adoptando nuevas tácticas de extorsión, es obligatorio tomar precauciones como descargar aplicaciones solo de fuentes confiables, usar antivirus para una protección mejorada y evitar hacer clic en cualquier enlace recibido a través de correo electrónico o plataformas de redes sociales.

COI

MD5 Detección
7E37F198C71A81AF5384C480520EE36E Ransom.Lockbit3.S28401281

HEUR:Ransom.Win32.InP

IP

3.220.57.224

72.26.218.86

71.6.232.6

172.16.116.14

78.153.199.241

72.26.218.86

5.233.194.222

27.147.155.27

192.168.10.54

87.251.67.65

71.6.232.

64.62.197.182

43.241.25.6

31.43.185.9

194.26.29.113

saltarseguridadnegocios[.]com

Expertos en la materia

Tejaswini Sandapolla

Umar Khan A.

Parag Patil

Ram Prakki sátvico

Ram Prakki sátvico

Ram Prakki sátvico