Un análisis completo del ransomware BlackMatter

Análisis de malware

Un análisis completo del ransomware BlackMatter

10 de noviembre de por Pedro Tavares

BlackMatter es el nombre que se le da al ransomware más reciente disponible y está equipado con las herramientas y técnicas de las familias de ransomware DarkSide, REvil y LockBit 2.0.

BlackMatter es un nuevo malware de cifrado de datos activo desde julio de. El ransomware utiliza las técnicas más avanzadas para dificultar su análisis y evitar estrategias de depuración.

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

Según el sitio web de la dark web BlackMatter, este ransomware está activo desde el 28 de julio de y sus operadores están negociando y comprando acceso a las redes internas. Como se observa en la 1, los delincuentes tienen una sección de reglas en el sitio web (lado derecho) que nos informa que este grupo malicioso no atacará hospitales, infraestructuras críticas específicas, la industria de defensa, etc. [HAGA CLIC EN LAS IMÁGENES PARA AMPLIAR]

1: Sitio web del ransomware BlackMatter disponible en la web oscura.

Se observó una publicación en un foro clandestino antes de que apareciera por primera vez el ransomware. El usuario con el nombre “BlackMatter” buscaba redes corporativas de los países objetivo en todas las áreas excepto la medicina y las instituciones estatales.

2: Hilo del foro donde los delincuentes buscaban redes corporativas para impactar con su ransomware.

Profundizando en los detalles del ransomware

BlackMatter ransomware utiliza la técnica de resolución de API dinámica para resolver las direcciones de llamada de la API de Win32 en tiempo de ejecución. A primera vista, al abrir el archivo binario, podemos observar algunas importaciones presentes en la tabla de direcciones de importación (3), pero ningún elemento relevante para el análisis de malware.

3: ransomware Blackmatter: tabla de direcciones de importación.

Por ejemplo, los analistas de malware no pueden ver importaciones o funciones sospechosas incluso cuando acceden y analizan cadenas binarias. Sin embargo, para permanecer en silencio, este ransomware resuelve internamente las llamadas a la API de Win32 en tiempo de ejecución, lo que retrasa la tarea de análisis de malware. Este puede ser un truco útil para descartar a profesionales con menos experiencia en el campo.

Como se observa a continuación, la llamada ” sub_405A86() ” se llama 13 veces, al pasar el nombre de la DLL de destino se cargará y se asignará a la memoria.

4: Bloque de código responsable de resolver las llamadas dinámicas a la API Win32 en tiempo de ejecución.

En detalle, la cadena ofuscada se transfiere a la llamada sub_405A86() y se aplica XOR con la clave: 0x2FED . Después de este punto, la cadena se descifra y se puede resolver la llamada a la API de Win32.

5: Bloque de código responsable de descifrar las llamadas Win32 en tiempo de ejecución mediante una operación XOR.

Como se observa a continuación, las funciones HeapCreate() y HeapAlloc() se utilizan para cargar las DLL de destino desde la carpeta system32 de Windows.

6: Función HeapAlloc() utilizada para asignar a la memoria las DLL de destino.

El ransomware primero obtiene todas las DLL presentes en la carpeta system32 de Windows y luego asigna a la memoria las DLL de destino codificadas dentro del archivo binario, a saber:

kernel32.dll

advapi32.dll

usuario32.dll

gdi32.ll

shell32.dll

ole32.dll

shlwapi.dll

oleaut32.dll

wtsapo.dll

rstrtmgr.dll

netapi32.dll

activeds.dll

wininet.dll

Además, las funciones FindFirstFileW() , FindNextFileW() y LoadLibraryW() se utilizan para encontrar en una lista-índice las DLL de destino y cargarlas en la memoria como se observa en la 7.

7: DLL de destino cargadas por el ransomware BlackMatter durante su ejecución.

Extracción de configuración de BlackMatter

Después de resolver todas las dependencias y llamadas a la API de Win32, el ransomware usa su configuración para evitar la ejecución de algunos procesos de destino y eliminar los servicios en ejecución.

Se utilizó un script disponible en GitHub para extraer la configuración del binario, como se muestra en la 8 a continuación.

8: Extracción de la configuración de BlackMatter.

Como se observó en otras familias de ransomware de esta línea , algunos procesos se eliminan para desbloquear archivos específicos utilizados por esos procesos. Con este mecanismo implementado, el ransomware garantiza que todo se dañe durante el proceso de cifrado.

La lista completa de los procesos eliminados en tiempo de ejecución es la siguiente:

ensvc

el murciélago

mydesktopqos

xfssvccon

Firefox

inforuta

palabra ganadora

vapor

sincronización

bloc

ocom

una nota

mspub

pájaro trueno

agencia

SQL

sobresalir

powerpnt

panorama

panel de palabras

dbeng50

isqlplussvc

servicio sqbcore

oráculo

ocaautoupds

dbsnmp

acceso ms

tbirdconfig

occsd

miserviciodeescritorio

visión

BlackMatter también elimina algunos servicios para evitar la recuperación de los archivos dañados, incluida la instantánea de volumen, como se presenta a continuación.

La lista de servicios de destino es:

mepocs

memtas

veeam

servicio$

respaldo

SQL

vss

9: Servicio de instantáneas de volumen (VSS) eliminado durante la ejecución del ransomware para evitar la recuperación de datos.

Una funcionalidad interesante de Blackmatter es que ejecuta intentos de autenticación en varios servicios, incluido LDAP, utilizando credenciales codificadas.

10: Credenciales codificadas del ransomware BlackMatter.

El ransomware tiene la capacidad de montar y cifrar volúmenes y recursos disponibles en la red interna. Los activos de Active Directory también se enumeran mediante el protocolo LDAP.

Se notifica a la pandilla detrás del ransomware sobre el proceso de cifrado y los detalles se envían mediante una solicitud POST a los servidores C2 disponibles en la configuración del ransomware.

11: Datos descifrados enviados al servidor C2.

La solicitud POST se cifra con el algoritmo AES-128 ECB y los datos se envían a los siguientes dominios.

12: Servidores de comando y control del ransomware BlackMatter.

Cifrado de datos y nota de rescate

BlackMatter ransomware cifra archivos utilizando un enfoque de subprocesos múltiples. Los datos se cifran utilizando el cifrado Salsa una clave pública RSA-1024. Los archivos se dañan durante el proceso de cifrado y se agrega la extensión ” .fnjzk5Pze ” al nombre del archivo.

13: Extensión de ransomware adjunta a los archivos dañados.

La nota de ransomware también se coloca en cada carpeta .fnjzk5Pze.README.txt. El archivo contiene en su interior las instrucciones dejadas por los delincuentes sobre el proceso de pago y cómo las víctimas podrían recuperar los archivos dañados (una trampa).

14: Nota del ransomware BlackMatter colocada en la máquina infectada.

Además, el fondo de pantalla del sistema operativo también cambia durante la ejecución del ransomware, lo que indica que la víctima debe encontrar el archivo de la nota de rescate y seguir las instrucciones.

15: El fondo de pantalla del escritorio de Windows cambió durante la ejecución de BlackMatter con el mensaje de destino.

Finalmente, al acceder a la nota del ransomware, es posible encontrar una URL al sitio web del ransomware disponible en la darknet con todas las instrucciones sobre el proceso de pago y recuperación de datos.

16: Sitio web del ransomware BlackMatter disponible en la web oscura.

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

Prevención de ataques de ransomware

Los ataques de ransomware siguen siendo una amenaza masiva en estos días. Aunque el panorama del ransomware sigue siendo un verdadero desafío para las empresas y la industria en general, podemos enumerar un conjunto de medidas que pueden ayudar a prevenir ataques de esta naturaleza.

Por último, pero no menos importante, promover la formación en ciberseguridad de los empleados en un programa de aprendizaje continuo.

Fuentes