BlackMatter es el nombre que se le da al ransomware más reciente disponible y está equipado con las herramientas y técnicas de las familias de ransomware DarkSide, REvil y LockBit 2.0.
BlackMatter es un nuevo malware de cifrado de datos activo desde julio de. El ransomware utiliza las técnicas más avanzadas para dificultar su análisis y evitar estrategias de depuración.
¡Conviértete en un ingeniero inverso certificado!
Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender
Según el sitio web de la dark web BlackMatter, este ransomware está activo desde el 28 de julio de y sus operadores están negociando y comprando acceso a las redes internas. Como se observa en la 1, los delincuentes tienen una sección de reglas en el sitio web (lado derecho) que nos informa que este grupo malicioso no atacará hospitales, infraestructuras críticas específicas, la industria de defensa, etc. [HAGA CLIC EN LAS IMÁGENES PARA AMPLIAR]
1: Sitio web del ransomware BlackMatter disponible en la web oscura.
Se observó una publicación en un foro clandestino antes de que apareciera por primera vez el ransomware. El usuario con el nombre «BlackMatter» buscaba redes corporativas de los países objetivo en todas las áreas excepto la medicina y las instituciones estatales.
2: Hilo del foro donde los delincuentes buscaban redes corporativas para impactar con su ransomware.
Profundizando en los detalles del ransomware
BlackMatter ransomware utiliza la técnica de resolución de API dinámica para resolver las direcciones de llamada de la API de Win32 en tiempo de ejecución. A primera vista, al abrir el archivo binario, podemos observar algunas importaciones presentes en la tabla de direcciones de importación (3), pero ningún elemento relevante para el análisis de malware.
3: ransomware Blackmatter: tabla de direcciones de importación.
Por ejemplo, los analistas de malware no pueden ver importaciones o funciones sospechosas incluso cuando acceden y analizan cadenas binarias. Sin embargo, para permanecer en silencio, este ransomware resuelve internamente las llamadas a la API de Win32 en tiempo de ejecución, lo que retrasa la tarea de análisis de malware. Este puede ser un truco útil para descartar a profesionales con menos experiencia en el campo.
Como se observa a continuación, la llamada » sub_405A86() » se llama 13 veces, al pasar el nombre de la DLL de destino se cargará y se asignará a la memoria.
4: Bloque de código responsable de resolver las llamadas dinámicas a la API Win32 en tiempo de ejecución.
En detalle, la cadena ofuscada se transfiere a la llamada sub_405A86() y se aplica XOR con la clave: 0x2FED . Después de este punto, la cadena se descifra y se puede resolver la llamada a la API de Win32.
5: Bloque de código responsable de descifrar las llamadas Win32 en tiempo de ejecución mediante una operación XOR.
Como se observa a continuación, las funciones HeapCreate() y HeapAlloc() se utilizan para cargar las DLL de destino desde la carpeta system32 de Windows.
6: Función HeapAlloc() utilizada para asignar a la memoria las DLL de destino.
El ransomware primero obtiene todas las DLL presentes en la carpeta system32 de Windows y luego asigna a la memoria las DLL de destino codificadas dentro del archivo binario, a saber:
kernel32.dll
advapi32.dll
usuario32.dll
gdi32.ll
shell32.dll
ole32.dll
shlwapi.dll
oleaut32.dll
wtsapo.dll
rstrtmgr.dll
netapi32.dll
activeds.dll
wininet.dll
Además, las funciones FindFirstFileW() , FindNextFileW() y LoadLibraryW() se utilizan para encontrar en una lista-índice las DLL de destino y cargarlas en la memoria como se observa en la 7.
7: DLL de destino cargadas por el ransomware BlackMatter durante su ejecución.
Extracción de configuración de BlackMatter
Después de resolver todas las dependencias y llamadas a la API de Win32, el ransomware usa su configuración para evitar la ejecución de algunos procesos de destino y eliminar los servicios en ejecución.
Se utilizó un script disponible en GitHub para extraer la configuración del binario, como se muestra en la 8 a continuación.
8: Extracción de la configuración de BlackMatter.
Como se observó en otras familias de ransomware de esta línea , algunos procesos se eliminan para desbloquear archivos específicos utilizados por esos procesos. Con este mecanismo implementado, el ransomware garantiza que todo se dañe durante el proceso de cifrado.
La lista completa de los procesos eliminados en tiempo de ejecución es la siguiente:
ensvc
el murciélago
mydesktopqos
xfssvccon
Firefox
inforuta
palabra ganadora
vapor
sincronización
bloc
ocom
una nota
mspub
pájaro trueno
agencia
SQL
sobresalir
powerpnt
panorama
panel de palabras
dbeng50
isqlplussvc
servicio sqbcore
oráculo
ocaautoupds
dbsnmp
acceso ms
tbirdconfig
occsd
miserviciodeescritorio
visión
BlackMatter también elimina algunos servicios para evitar la recuperación de los archivos dañados, incluida la instantánea de volumen, como se presenta a continuación.
La lista de servicios de destino es:
mepocs
memtas
veeam
servicio$
respaldo
SQL
vss
9: Servicio de instantáneas de volumen (VSS) eliminado durante la ejecución del ransomware para evitar la recuperación de datos.
Una funcionalidad interesante de Blackmatter es que ejecuta intentos de autenticación en varios servicios, incluido LDAP, utilizando credenciales codificadas.
10: Credenciales codificadas del ransomware BlackMatter.
El ransomware tiene la capacidad de montar y cifrar volúmenes y recursos disponibles en la red interna. Los activos de Active Directory también se enumeran mediante el protocolo LDAP.
Se notifica a la pandilla detrás del ransomware sobre el proceso de cifrado y los detalles se envían mediante una solicitud POST a los servidores C2 disponibles en la configuración del ransomware.
11: Datos descifrados enviados al servidor C2.
La solicitud POST se cifra con el algoritmo AES-128 ECB y los datos se envían a los siguientes dominios.
12: Servidores de comando y control del ransomware BlackMatter.
Cifrado de datos y nota de rescate
BlackMatter ransomware cifra archivos utilizando un enfoque de subprocesos múltiples. Los datos se cifran utilizando el cifrado Salsa una clave pública RSA-1024. Los archivos se dañan durante el proceso de cifrado y se agrega la extensión » .fnjzk5Pze » al nombre del archivo.
13: Extensión de ransomware adjunta a los archivos dañados.
La nota de ransomware también se coloca en cada carpeta .fnjzk5Pze.README.txt. El archivo contiene en su interior las instrucciones dejadas por los delincuentes sobre el proceso de pago y cómo las víctimas podrían recuperar los archivos dañados (una trampa).
14: Nota del ransomware BlackMatter colocada en la máquina infectada.
Además, el fondo de pantalla del sistema operativo también cambia durante la ejecución del ransomware, lo que indica que la víctima debe encontrar el archivo de la nota de rescate y seguir las instrucciones.
15: El fondo de pantalla del escritorio de Windows cambió durante la ejecución de BlackMatter con el mensaje de destino.
Finalmente, al acceder a la nota del ransomware, es posible encontrar una URL al sitio web del ransomware disponible en la darknet con todas las instrucciones sobre el proceso de pago y recuperación de datos.
16: Sitio web del ransomware BlackMatter disponible en la web oscura.
¡Conviértete en un ingeniero inverso certificado!
Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender
Prevención de ataques de ransomware
Los ataques de ransomware siguen siendo una amenaza masiva en estos días. Aunque el panorama del ransomware sigue siendo un verdadero desafío para las empresas y la industria en general, podemos enumerar un conjunto de medidas que pueden ayudar a prevenir ataques de esta naturaleza.
- Asegúrese de que las herramientas de acceso remoto sean seguras, utilicen autenticación multifactor y al menos contraseñas complejas y seguras.
- Los servicios conectados a Internet deben estar expuestos y accesibles a través de un servicio VPN, reduciendo así el riesgo y el impacto de un incidente cibernético y el acceso ilegítimo.
- Asegúrese de que las cuentas del usuario tengan los privilegios mínimos en la red. Con esta política implementada, el movimiento lateral a través de la red será un escenario difícil para los delincuentes.
- Implementar un sistema de monitoreo y bloqueo de amenazas para contener los primeros incidentes de malware.
- Cree diferentes zonas de respaldo, dentro y fuera del sitio.
Por último, pero no menos importante, promover la formación en ciberseguridad de los empleados en un programa de aprendizaje continuo.
Fuentes
- Cepa de ransomware BlackMatter , group-ib.com
- ransomware BlackMatter , Tesorion
- Ragnar Locker , Segurança Informática
- Muestra de BlackMatter , AnyRun