Análisis de malware
Malware LockBit: qué es, cómo funciona y cómo prevenirlo | Destacado malware
17 de septiembre de por Pedro Tavares
Introducción
LockBit es un malware de cifrado de datos en funcionamiento desde septiembre de y un ransomware como servicio (RaaS) reciente, en el que los desarrolladores están a cargo del sitio de pago y el desarrollo y los afiliados se registran para distribuir la amenaza en la naturaleza. Este malware fue desarrollado para cifrar grandes empresas en unas pocas horas como una forma de evitar su detección rápida por parte de los dispositivos de seguridad y los equipos de TI/SOC. Según McAfee , LockBit cifró aproximadamente 25 servidores y 225 estaciones de trabajo en sólo tres horas durante un ataque reciente.
Cuando se ejecuta, el ransomware cambia el nombre de los archivos con la extensión » .abcd » después de comprometer un dispositivo. Después de este proceso, se crea un archivo de texto – » Restore-My-Files.txt » en todas las carpetas afectadas.
LockBit en profundidad
Los delincuentes suelen lanzar este malware después de que una red se ha visto comprometida como una de las etapas finales de la infección. La implementación de LockBit se inicia mediante un comando de PowerShell que también se observa en otros ransomware mediático, incluido Netwalker . [HAGA CLIC EN LAS IMÁGENES PARA AMPLIAR]
1: comando de PowerShell que inicia la primera etapa de LockBit
En detalle, el comando PowerShell recupera un archivo .png (rs40 y rs35 según la versión .NET instalada en el dispositivo infectado) de un sitio web probablemente comprometido por delincuentes, lo que inicia la segunda etapa. La segunda etapa es un descargador .NET escrito en C# y compilado mediante Microsoft Visual Studio. Como se presenta a continuación, el binario tiene tres secciones y no está empaquetado, por lo que se puede invertir para una mejor comprensión.
2: Segunda etapa de LockBit: número de secciones
Este archivo es un cargador .NET que, cuando se ejecuta, descarga la carga útil final, LockBit, de Internet. Al analizar la función Main() , se muestra que una matriz con la cadena base64 cifrada con AES contiene el binario LockBit.
3: Cadena base64 cifrada con AES para proteger la carga útil final : LockBit ransomware
En algunas muestras observadas, se utilizó la clave de cifrado simétrica ENCRYPTION29942 para descifrar (y cifrar) el contenido observado en la 3.
4: Texto cifrado AES (la carga útil de LockBit) y clave de descifrado simétrica
El cargador .NET comprueba la existencia de vbc.exe en el dispositivo infectado o lo descarga desde un host comprometido (3). Este binario se utiliza para el proceso de vaciado, una técnica bien conocida para inyectar LockBit en la memoria.
De manera breve se observaron los siguientes llamados:
- NtUnmapViewOfSection: Desasignar el código original en ejecución
- NtWriteVirtualMemory: escribir la dirección base de la imagen inyectada en el PEB
- VirtualAllocEx: asignar el espacio antes de inyectar la carga maliciosa
Se pueden encontrar más detalles sobre esta técnica aquí .
Respecto a la utilidad VBC: es el compilador visual basic para Windows. LockBit lo usa para compilar y ejecutar la carga útil en tiempo de ejecución.
5: Utilidad VBC utilizada para compilar y ejecutar la carga útil sobre la marcha
Después de esto, se ejecuta el ransomware. Crea un nuevo hilo para administrar servicios, finalizar procesos y eliminar los volúmenes ocultos.
6: Eliminar instantáneas del dispositivo infectado
El ransomware tiene algunas entradas codificadas relacionadas con servicios que se detienen durante su ejecución.
7: Servicios codificados dentro del binario.
La lista completa de servicios que LockBit intenta cancelar es la siguiente:
- DefWatch (Symantec Antivirus)
- ccEvtMgr (Administrador de eventos de Norton AntiVirus)
- ccSetMgr (Servicio de administrador de configuración de cliente común de Symantec)
- SavRoam (antivirus Symantec)
- sqlserv
- agente sqlagent
- sqladhlp
- Culserver
- RTVscan (programa antivirus de Symantec)
- navegador sql
- dbsrv12
- dbeng8 (servidor adaptable de Sybase)
- SQLADHLP
- Servicio QBIDP (QuickBooks de Intuit.)
- QuickBoooks.FCS (QuickBooks de Intuit.)
- QBCFMonitorService (QuickBooks de Intuit.)
- escritor sql
- msmdsrv (Microsoft SQL Server)
- tomcat6 (Apache Tomcat)
- zhundongfangyu (pertenece al producto de seguridad 360 de la empresa Qihoo)
- vmware-usbarbitator64
- convertidor-vmware
- Programa de base de datos Anywhere versión 8)
- envoltura
Durante la ejecución del ransomware, se crea una nota de rescate en cada directorio que cifra con el siguiente contenido:
8: Nota de rescate enviada por LockBit durante el proceso de cifrado
Hay un enlace TOR disponible que se utiliza para obtener información adicional sobre el pago del rescate y para establecer una comunicación directa con los operadores del ransomware. Como se muestra a continuación, hay disponible un chat de soporte y también una función llamada «Descifrado de prueba», que se utiliza para cargar un archivo dañado y recuperarlo. En resumen, esta característica es sólo una prueba de trabajo proporcionada por los delincuentes.
9: Prueba de descifrado y chat: LockBit ransomware
El ransomware también realiza movimiento lateral mediante el uso del protocolo ARP y mediante el envío de solicitudes SMB en la red. Si se accede a algún dispositivo con éxito, intenta ejecutar la carga útil presente en la 1 para infectar el siguiente dispositivo.
Otro detalle interesante es que el malware intenta eliminarse al final de la ejecución y crea dos entradas en el registro para que ante posibles infecciones se dé cuenta de que el ordenador ya ha sido infectado.
10: Entradas de registro creadas durante la ejecución de LockBit para evitar más infecciones
Medidas de prevención
Este tipo de ransomware no se difunde mediante ataques de ingeniería social como phishing o Spearphishing. Se implementa después de afianzarse en la red y cerrar la cadena de infección.
¡Por eso, luchar contra esta amenaza es un dolor de cabeza! El monitoreo puede ser un buen amigo, al menos para detectar posibles intrusiones en la red en una etapa temprana. Monitorear los activos de la red e instalar agentes de protección de endpoints en cada dispositivo debería ser una regla obligatoria presente en el “menú de seguridad” de cada empresa. Esta es una medida eficaz que puede advertir a los administradores de TI sobre posibles eventos anormales en todo el ecosistema.
¡Conviértete en un ingeniero inverso certificado!
Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender
Fuentes
- Cuentos de las trincheras; una historia de Lockbit Ransomware , McAfee