Ransomware as a Service (RaaS): o serviço de assinatura que mais afeta as empresas

Por Caique Barqueta: Os ataques de ransomware permanecem em constante crescimento. Esse aumento é derivado de um novo modelo de venda, o conhecido “Ransomware como Serviço” (Ransomware-as-a-Service – RaaS). Tal modelo é baseado em assinatura e permite que os afiliados – os compradores – utilizem as ferramentas de ransomware já desenvolvidas para executar ataques. Neste aspecto, os afiliados ganham uma porcentagem de cada pagamento de resgate bem-sucedido que o afiliado realizar.

O Ransomware-as-a-Service é uma adoção do modelo de negócios Software-as-a-Service (SaaS) e, com isso, os agentes criminosos não precisam ser qualificados o suficiente para codificar um código de Ransomware, basta apenas realizar a compra por demanda e ainda receber uma determinada porcentagem do resgate.

Em conjunto, a Trend Micro em seu relatório sobre Ameaças, foi mencionado que o Ransomware como serviço, demonstrou que houve o aumento de 63,2% e novos grupos de extorsão em 2022.

Antes que nos aprofundemos sobre alguns novos operadores no decorrer do relatório, ilustramos abaixo a quantidade de Indicadores de Comprometimento (IoCs) que a equipe de inteligência da ISH coleta diariamente por meio do GTI (Global Threat Intelligence).

Indicadores de Comprometimento (IoCs)

Abaixo, ilustramos a quantidade de Indicadores de Comprometimentos (IoCs) tratados diariamente pelo GTI, trazendo diversos tipos de indicadores, como md5, sha1, sha256, endereços IP maliciosos entre outros.  

Ransomware

Foram detectados 83,288 Indicadores de Comprometimentos (IoCs) de famílias de Ransomware diversos, conforme a imagem abaixo:

Além dos diversos Indicadores já elencados, a equipe ISH Heimdall direcionou esforços para enriquecimento da base de dados de ameaças, sendo que, nos últimos 30 dias, houve o acréscimo de 436.461.027 de Indicadores de Comprometimento (IoCs).

Endereços de IP

Outro principal rastro que os agentes de ameaças deixam e que auxiliam sua identificação é o endereço de IP, que é considerado uma informação muito valiosa para rastrear e estudar os agentes de ameaças, visando se proteger do domínio e endereço de IP considerado malicioso.

A ISH coleta e analisa diariamente a atividade maliciosa desses principais ofensores de acordo com o print abaixo, onde do dia 29/10 a 29/11 coletamos e analisamos 18.017.176 endereços de IP maliciosos que foram prontamente compartilhados com os clientes via MISP.  

Figura 2 – Geolocalização de endereços IP maliciosos tratados no GTI

Como funciona o modelo de RaaS?

Lembrando que, para que o RaaS funcione, o operador precisa de um ransomware codificado e desenvolvido por agentes confiáveis para obrigar os afiliados a se inscreverem e distribuírem seu malware.

Os desenvolvedores de RaaS criam códigos maliciosos com alta chance de sucesso de invasão e baixo nível de detecção por soluções.

Após o desenvolvimento, o ransomware é modificado para uma infraestrutura de vários usuários finais, e assim está pronto para ser licenciado para vários afiliados. Estes afiliados possuem documentação disponível para integração e um guia de passo a passo para iniciar os ataques de ransomware.

Salientamos que alguns distribuidores de RaaS até os fornecem uma solução de painel para ajudá-los a monitorar o status de cada tentativa de infecção por ransomware, como é o caso dos operadores do Ransomware Eternity.

Figura 3  – Portal de RaaS do Eternity para venda do artefato.

Além disto, para melhor entendimento, trouxemos a diferença de Operadores de Ransomware para os Afiliados, definindo suas competências:

Operadores RaaSAfiliados RaaS
Recrutamento de afiliados em fóruns.Pagamento para usar o Ransomware. Concorda com uma taxa de serviço por resgate coletado.
Dá aos afiliados acessos a um painel “crie seu próprio payload de ransomware”   Cria um painel dedicado de “Comando e Controle” para o afiliado rastrear o payload.Identifica vítimas alvo.   Define exigências de resgate.   Configura mensagens de usuários pós-compromisso.
 Compromete os bens da vítima.   Maximiza a infecção usando as técnicas de “living of the land”.   Execução do Ransomware.
Configura um portal de pagamento de vítimas.   “Ajuda” os afiliados nas negociações com as vítimas.Comunica-se com a vítima por meio de portais de bate-papo ou outros canais de comunicação.
Gerencia um site de vazamento dedicado.Gerencia as chaves de descriptografia.

Existem quatro modelos de receita RaaS comuns:

  1. Assinatura mensal por uma taxa fixa;
  2. Programas de afiliados, que são iguais a um modelo de taxa mensal, mas com uma porcentagem dos lucros (normalmente 20 a 30%) indo para o desenvolvedor do ransomware;
  3. Taxa única de licença sem participações nos lucros;
  4. Participação nos lucros.

Exemplos de RaaS

Abaixo, listamos os principais operadores de RaaS:

DarkSide: operação RaaS associada a um grupo eCrime. Eles são focados em máquinas Windows e houve a expansão para o sistema operacional Linux, visando ambientes corporativos executando hipervisores VMware ESXi sem patch ou roubando credenciais do vCenter.

REvil: também conhecido como Sodinokibi, foi identificado como o ransomware por trás de um dos maiores pedidos de resgates já registrados, aproximadamente US$10 milhões. O RaaS é vendido sob o modelo de afiliado e normalmente fica com 40% dos lucros. Aqui, o REvil avisa as vítimas sobre o vazamento de dados por meio de postagem aos blogs de DLS, contendo dados de amostras como prova.

LockBit: Em operação desde meados de setembro de 2019, o LockBit está disponível como um RaaS anunciado também em seu site de Data Leak, conforme imagem abaixo que apresenta mensagem aos afiliados.

Além dos mencionados, a equipe Heimdall identificou novos grupos de operadores de ransomware em atuação, como o AXLocker, Octocrypt e Alice, dos quais realizamos a análise de artefatos relevantes visando entender o comportamento destes.

Ransomware AXLocker

Os operadores de ransomware criaram mais uma ferramenta, chamada AXLocker, que pode criptografar vários tipos de arquivos e torná-los completamente inutilizáveis. Além disso, o ransomware rouba tokens do Discord da máquina da vítima e os envia para o servidor e, posteriormente, uma nota de resgate é exibida no sistema da vítima para obter a ferramenta de descriptografia usada para recuperar os arquivos criptografados.

Em análise técnica, foi realizada a análise da amostra de hash 256: c8e3c547e22ae37f9eeb37a1efd28de2bae0bfae67ce3798da9592f8579d433c, a qual, em análise prévia, trata-se de um executável compilado em .NET baseado em GUI de 32 bits.

Figura 6 – Informações estáticas do artefato malicioso analisado.

Em análise estática, foram obtidas informações de que possui a utilização das funções de EncryptFile, AES Decrypt e AES Encrypt, utilizadas para criptografia dos dados.

Outra informação localizada é que o Ransomware realiza o acesso a algumas pastas visando realizar a exfiltração de dados dos diretórios listados abaixo:

  • \Discord
  • \discordcanary
  • \discordptb
  • \\Opera Software\Opera Stable
  • \Google\Chrome\User Data\Default
  • \BraveSoftware\Brave-Browser\User Data\Default
  • \Yandex\YandexBrowser\User Data\Default
  • \Local Storage\leveldb

Além disso, a função utilizada pelo ransomware startencryption() contém o código para pesquisar arquivos enumerando os diretórios disponíveis na unidade C:\. Ele procura extensões de arquivo específicas para criptografar e exclui uma lista de diretórios do processo de criptografia. Exemplos de extensões que o ransomware busca criptografar:

.rar.zip.m3u.m4a.mp3
.wma.ogg.wav.sqlite.sqlite3
.img.nrg.doc.docx.docm
.odt.rtf.wpd.wps.csv
.key.pdf.pps.ppt.pptm
.pptx.psd.vcf.xlr.xls
.xlsx.xlsm.ods.odp.indd
.dwg.dxf.kml.kmz.gpx
.cad.wmf.txt.3fr.ari
.arw.bay.bmp.cr2.crw
.cxi.dcr.dng.eip.erf
.fff.gif.iiq.j6i.k25
.kdc.mef.mfw.mos.mrw
.nef.nrw;orf.pef.png
.raf.raw.rw2.rwl.rwz
.sf2.srf.srw.x3f.jpg
.jpeg.tga.tiff.tif.3g2
.3gp.asf.avi.flv.m4v
.mkv.mov.mp4.mpg.swf
.vob.wmv   

Após a execução, a carga maliciosa se torna oculta na pasta que originou a execução, apresentando durante a análise uma forma de se ofuscar junto ao sistema operacional.

Após a criptografia o referido Ransomware apresenta a mensagem “task” do aviso de que os arquivos foram criptografados, conforme imagem abaixo:

Quanto à criptografia, o referido ransomware não realiza a alteração do nome ou extensão do arquivo, permanecendo apenas a criptografia do conteúdo de arquivo, conforme abaixo:

Figura 8 – Arquivo criptografado.

Por fim, podemos concluir que o referido ransomware utiliza as funções ProcessFile, que em seguida executa a função EncryptFile, identificada anteriormente, e, em seguida, inicia a criptografia dos arquivos com a criptografia AES.

Após esta criptografia, o ransomware coleta e envia informações do nome do host, nome de usuário, endereço de IP da máquina, UUID do sistema e tokens de Discord para o C2 identificado pela URL: https://discord.com/api/webhooks/1039930467614478378/N2J80EuPMXSWuIBpizgDJ-75CB6gzTyFE72NQ0DJimbA7xr

Ransomware Octocrypt

Foi identificado um novo operador de ransomware que possui como alvo todas as versões do sistema operacional Windows. O seu desenvolvedor compilou a ameaça por meio da linguagem Golang. Além disso, opera por meio de Ransomware-as-a-service (SaaS) e surgiu em fóruns com postagens voltado a cibercriminosos por volta de outubro de 2022.

O anúncio identificado afirmava que o Ransomware possui as funcionalidades:

  • Construtor, Encryptador e Decrypter escrito em Golang;
  • Criptografia de todas as versões do Windows;
  • Criptografia de documentos, fotos, banco de dados, drives e etc;
  • Criptografia utilizando AES-256-CTR;
  • Troca segura com ECDSA;
  • Interface Web simples para construção de criptografador e descriptografador;
  • Ofuscação de compilação dinâmica;
  • Configuração fácil da interface Web via Docker;
  • Alteração do plano de fundo da área de trabalho após a infecção.
Figura 9 – Publicação do Octocrypt em Golang.

O ransomware foi anunciado pelo valor de US$ 400,00, possuindo ainda outros canais para suporte, como o Telegram. Outro fato relevante é que foi realizada a publicação de diversos prints pelo usuário que realizou a venda, conforme abaixo:

Diante disso, em análise do artefato malicioso sha256: 9a557b61005dded36d92a2f4dafdfe9da66506ed8e2af1c851db57d8914c4344, podemos verificar que ele se encontra empacotado. Foi realizada a identificação de algumas strings relevantes antes que seja executado, como dados referentes à nota de resgate criada pelo ransomware.

Figura 11 – Conteúdo da nota de resgate do artefato malicioso

Em resumo, o referido Ransomware realiza a enumeração e identificação das pastas existentes no host e inicia o processo de criptografia dos arquivos utilizando-se do algoritmo AES-256, alterando a extensão dos arquivos para .octo. Após isso, o ransomware despeja as notas de resgate com o nome do arquivo “INSTRUCTIONS.html”, alterando ainda o papel de parede da vítima exigindo o valor de resgate para um endereço específico da carteira Monero.

Antes de ser executado, o Ransomware garante a conexão do sistema com a internet, e em seguida verifica a conexão TCP para acessar a URL da API.

Diante disso, após a análise do comportamento dos referidos ransomwares, listamos todas as Táticas, Técnicas e todos os Procedimentos (TTPs) utilizados por eles.

TTPs identificados

Tática: Execução

  • T1059 – Comando e Intérprete de Script.
  • T1204 – Execução do artefato pelo usuário.
  • T1047 – Instrumentação de gerenciamento do Windows (WMIC).

Tática: Evasão de Defesa

  • T1497– Virtualização e Evasão de Sandbox.

Tática: Acesso à credencial

  • T1528 – Roubar token de acesso ao aplicativo.

Tática: Descoberta

  • T1087 – Descoberta de contas.
  • T1082 – Descoberta de informações do sistema
  • T1083 – Descoberta de arquvios e diretórios

Tática: Persistência

  • T1547.001 – Chaves de Execução do Registro/ Pasta de Inicialização.
  • T1053 – Utilização de tarefa/trabalho agendado.

Tática: Comando e Controle

  • T1071– Protocolo da Camada de Aplicação.

Tática: Impacto

  • T1486– Dados criptografados para impacto.

Tática: Exfiltração

  • T1020– Exfiltração Automatizada

Indicadores de Comprometimento

A ISH Tecnologia realiza o tratamento de diversos indicadores de compromissos coletados por meio de fontes abertas, fechadas e de análises realizadas pela equipe de segurança Heimdall. Diante disso, abaixo listamos todos os Indicadores de Comprometimentos (IoCs) relacionadas à análise do(s) artefato(s) desse relatório:

Indicadores de compromisso de artefato malicioso/ analisado
md5:a18ac3bfb1be7773182e1367c53ec854
sha1:c3d5c1f5ece8f0cf498d4812f981116ad7667286
sha256:c8e3c547e22ae37f9eeb37a1efd28de2bae0bfae67ce3798da9592f8579d433c
Imphash:f34d5f2d4577ed6d9ceec516c1f5a744
Authenthash:4e66b0300b44f80b12619c3a6ad6906cf31018f67b2c6bd99ce62637a525b4a2
Size in bytes:74752 bytes
Indicadores de compromisso de artefato malicioso/ analisado
md5:ad1c2d9a87ebc01fa187f2f44d9a977c
sha1:03d871509a7369f5622e9ba0e21a14a7e813536d
sha256:d9793c24290599662adc4c9cba98a192207d9c5a18360f3a642bd9c07ef70d57
Imphash:f34d5f2d4577ed6d9ceec516c1f5a744
Authenthash:bbb846f427711ff608da75e4dc5a6e816d508ff1798b90a2abea3c511c61f590
Size in bytes:90624 bytes
Indicadores de compromisso de artefato malicioso/ analisado
md5:9be47a6394a32e371869298cdf4bdd56
sha1:ca349c0ddd6cda3a53ada634c3c1e1d6f494da8a
sha256:9e95fcf79fac246ebb5ded254449126b7dd9ab7c26bc3238814eafb1b61ffd7a
Imphash:f34d5f2d4577ed6d9ceec516c1f5a744
Authenthash:5015f41c8f309b7d52e7e1adb2d45285daa003ca1cb649d44998dab67d9f14ac
Size in bytes:413696 bytes
Indicadores de compromisso de artefato malicioso/ analisado
md5:07563c3b4988c221314fdab4b0500d2f
sha1:a5f53c9b0f7956790248607e4122db18ba2b8bd9
sha256:0225a30270e5361e410453d4fb0501eb759612f6048ad43591b559d835720224
Imphash:f34d5f2d4577ed6d9ceec516c1f5a744
Authenthash:f9dfc44a1a52c15b633782931ee2dae0b8f21ff0a7f41db626151edb0ae514f9
Size in bytes:1547264 bytes
Indicadores de compromisso de artefato malicioso/ analisado
md5:ab2c19f4c79bc7a2527ab4df85c69559
sha1:60a692c6eaf34a042717f54dbec4372848d7a3e3
sha256:d51297c4525a9ce3127500059de3596417d031916eb9a52b737a62fb159f61e0
Imphash:f34d5f2d4577ed6d9ceec516c1f5a744
Authenthash:e2f5d36c75e1289051613a4ba84a2c0b9b0b0fda69c961b623be075aa09d8cf5
Size in bytes:71168 bytes
Indicadores de compromisso de artefato malicioso/ analisado
md5:346e7a626d27f9119b795c889881ed3d
sha1:ce25203215f689451a2abb52d24216aec153925a
sha256:9a557b61005dded36d92a2f4dafdfe9da66506ed8e2af1c851db57d8914c4344
Imphash:9cbefe68f395e67356e2a5d8d1b285c0
Authenthash:aaa6af90f28c35da27e32cd1d307498760366fdec81d91beb15315dc0f112795
Size in bytes:5054976 bytes
Indicadores de compromisso de artefato malicioso/ analisado
md5:5a39a2c4f00c44e727c3a66e3d5948c2
sha1:07e7341b86ace9935c4f1062d41a94f3b31f9bf6
sha256:65ad38f05ec60cabdbac516d8b0e6447951a65ca698ca2046c50758c3fd0608b
Imphash:9cbefe68f395e67356e2a5d8d1b285c0
Authenthash:faf8f5d166135deaaef70c115cf18e95468a5ab7703f04c3a27780bcb05ac374
Size in bytes:5054976 bytes
Indicadores de compromisso de artefato malicioso/ analisado
md5:2afdbca6a8627803b377adc19ef1467d
sha1:13a0ce1c3ac688c55ba3f7b57fb6c09ad0e70565
sha256:e65e3dd30f250fb1d67edaa36bde0fda7ba3f2d36f4628f77dc9c4e766ee8b32
Imphash:6ed4f5f04d62b18d96b26d6db7c18840
Authenthash:6213361e9f102fe42b033da2dc97f5ce6c8ce3d133ff2430286f5f969c8181f0
Size in bytes:1936896 bytes
Indicadores de compromisso de artefato malicioso/ analisado
md5:8dea06f2ba3faf074876e78324412375
sha1:1a3f94b59728358da7c149f240a734293492a7d2
sha256:a7528fefccbb36949a97476e4717bc0af1359c13d028a5df6a5c8c8687d851e8
Imphash:9cbefe68f395e67356e2a5d8d1b285c0
Authenthash:f5627003a7c26ff0ddf43dc8dd512fb833f34908a84f7a2203a27632208b9ea9
Size in bytes:5054976 bytes

Mitigação

Listamos algumas dicas de segurança a serem adotadas e utilizadas em todos os ativos e infraestrutura da sua organização.

  • Implementar senhas fortes;
  • Ativar Autenticação de Duplo Fator (MFA);
  • Reavaliar e simplificar as permissões de conta de usuário;
  • Ter sempre backups de todo o sistema e snapshots/imagens da máquina local preparada e armazenadas de forma segura, para que em caso de ransomware, sejam utilizadas;
  • Utilizar ferramentas de monitoramento de e-mails, rede e demais métodos de entradas e saídas de arquivos e dados da empresa, visando identificar de imediato arquivos potencialmente maliciosos;
  • Recomendamos ainda que sejam utilizadas as informações extraídas, consumindo as IOCs em ferramentas de monitoramento contínuo na infraestrutura.

Referências:

  • Heimdall by ISH Tecnologia
  • GTI by ISH Tecnologia
  • VX-underground
  • Malware Bazzar