Modus operandi del ransomware BlackByte

Análisis de malware

Modus operandi del ransomware BlackByte

23 de febrero de por Pedro Tavares

Vivimos en una era en la que el ransomware es un tema de tendencia. BlackByte es un ransomware que aprovecha las vulnerabilidades de Proxyshell para obtener acceso inicial. Este artículo aprenderá sobre este ransomware, cómo funciona, describirá las tácticas, técnicas y procedimientos (TTP) más importantes y una guía sobre protección contra ransomware.

BlackByte ha sido un malware de cifrado de datos dirigido a organizaciones en estado salvaje desde julio de. Como mencionaron los expertos de Redcanary, los autores detrás del ransomware han explotado las vulnerabilidades de ProxyShell presentes en los servidores de Microsoft Exchange para obtener acceso interno a través de CVE–34473, CVE-. -34523 y CVE–31

Como los exploits pueden colocar un archivo en una ruta específica del sistema operativo (SO), los delincuentes lo utilizan para crear un shell web ASPX para iniciar la cadena de infección.

1: Web Shell colocado en la ruta de destino a través de ProxyShell.

Después de obtener el punto de apoyo inicial, los delincuentes colocan una baliza CobalStrike en forma de un archivo ejecutable portátil (EXE) que se utiliza para generar el ransomware e iniciar el proceso de cifrado.

2: Baliza CobalStrike utilizada para generar el ransomware.

Profundizando en los detalles de BlackByte

A primera vista, los archivos de ransomware se hacen pasar por Amazon Corp., como se observa en la 3.

3: Detalles del ransomware BlackByte.

El archivo tiene una entropía alta (8.0), una señal clara de que el archivo está protegido con el empaquetador UPX, como se observa a continuación. Los creadores de malware suelen utilizar este tipo de enfoque para ocultar cadenas binarias, importar y exportar tablas, llamadas a la API de Windows, etc.

4: ransomware BlackByte protegido por el empaquetador UPX.

Las siguientes imágenes presentan la comparación entre el archivo de ransomware BlackByte empaquetado y desempaquetado. El archivo protegido tiene sólo seis llamadas en la tabla de direcciones de importación y cuatro desde Kernel32.dll. Un escenario con pocas llamadas enumeradas en el IAT indica que se utilizó un empaquetador para ofuscar datos.

Por otro lado, luego de descomprimirlo, se enumeraron 111 llamadas API y 12 secciones binarias, lo que nos permitió un análisis estático y dinámico preciso del archivo ransomware desde este punto.

5: Muestra de ransomware BlackByte empaquetado y desempaquetado.

Después de ejecutar el archivo ransomware en la memoria, se realizan algunas validaciones. Si el idioma del sistema de destino es el mismo que el de los códigos codificados, entonces el ransomware finaliza su operación. La lista completa se presenta a continuación.

6: Idiomas codificados en BlackByte; cuando ocurre una coincidencia, el ransomware finaliza.

Como se observó en otras amenazas de esta naturaleza, el ransomware BlackByte desactiva algunos servicios y detiene los procesos de destino antes de iniciar el proceso de cifrado. Este es un TTP muy conocido utilizado por los delincuentes para evitar errores durante la operación del ransomware, ya que otros programas no pueden cifrar ni acceder a los archivos o procesos abiertos en tiempo de ejecución.

La lista de servicios deshabilitados y todos los procesos codificados para finalizar se pueden encontrar a continuación.

7: Lista de servicios para discapacitados.

8: Lista de todos los procesos finalizados durante la ejecución del ransomware BlackByte.

BlackByte intenta escalar privilegios en la red interna mediante tres pasos diferentes, a saber:

Además, BlackByte ejecuta reconocimiento de red, incluidas consultas al Directorio Activo para todos los nombres de host de computadora recopilados.

El punto “Actualizador de reglas de vacunas”

Un comportamiento interesante observado durante la ejecución del ransomware es la creación de un nuevo hilo responsable de eliminar la tarea programada “Raccine Rules Updater” y deshabilitar el servicio SQLTelemetry. Raccine es una vacuna contra ransomware creada por Florian Roth y capaz de interceptar y prevenir precursores y comportamientos activos de ransomware.

9: BackByte intenta eliminar la tarea Raccine durante su ejecución.

El proceso de cifrado

Según la investigación de Trustwave, segundos antes de que comience el proceso de cifrado, BlackByte intenta descargar un archivo .png de un dominio codificado que contiene una clave AES para usarse como clave de cifrado. Si la conexión falla, el proceso del ransomware falla.

10: Clave AES (clave simétrica) utilizada durante el proceso de cifrado.

La nota de rescate se crea durante el proceso de cifrado y contiene instrucciones sobre cómo contactar a los delincuentes. El archivo es un archivo HTA llamado “BlackByte_restoremyfiles.hta”, como se observa a continuación.

11: Archivo de notas del ransomware BlackByte con todas las instrucciones.

Todos los archivos dañados tienen asociada la extensión” .blackbyte “. Por ejemplo, el archivo “a.txt” pasa a llamarse ” a.txt.blackbyte ” y así sucesivamente.

12: Ejemplo de archivos dañados después de ejecutar el ransomware BlackByte.

Finalmente, BackByte ejecuta comandos de vida fuera de la tierra para eliminar todas las instantáneas, los puntos de restauración de Windows, deshabilitar el descubrimiento de redes, cambiar los permisos de los archivos y eliminar la carpeta de la papelera de reciclaje. La lista completa de comandos se puede encontrar a continuación.

13: Lista de comandos ejecutados por BlackByte durante su ejecución.

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

ransomware BlackByte

El ransomware es una amenaza emergente que ha aumentado en volumen y sofisticación en los últimos años. BlackByte es uno de los tipos de malware de cifrado de datos activo operado por delincuentes en la naturaleza y que utiliza vulnerabilidades conocidas para obtener acceso inicial e impactar a organizaciones de todo el mundo.

Aunque no existe una forma mágica de detener el ransomware en general, a veces los autores de malware introducen algunas debilidades durante el desarrollo de su software que los especialistas en seguridad pueden utilizar para minimizar el impacto de un ciberataque.

En el contexto del ransomware BlackByte, los expertos de Trustwave explicaron que el png descargado con la clave de cifrado AES se utiliza tanto en el proceso de cifrado como en el de descifrado (consulte la 10). Como el mismo archivo se utilizó para comprometer diferentes organizaciones en todo el mundo, Trustwave usa esa clave para crear un descifrador que puede recuperar los archivos de la víctima de forma gratuita.

Fuente : https://github.com/SpiderLabs/BlackByteDecryptor

Las líneas de comando sobre cómo utilizar el descifrado se pueden encontrar en la página de GitHub y ahora todas las víctimas afectadas pueden recuperar sus archivos sin pagar el rescate.

Fuentes: