Os perigos do Ransomware LockBit 3.0 para as empresas: entenda como opera o software malicioso

Por Caique Barqueta: O ransomware é um tipo de malware muito letal para todos os ativos da tecnologia. Mas, afinal, o que efetivamente o torna perigoso?

Como o próprio nome já diz, “ransom” significa “Resgate” – logo, é um software malicioso utilizado para realizar a extorsão por meio de bloqueio do dispositivo/ativo ou de determinados objetos/arquivos que se encontram armazenados em seu dispositivo e, em seguida, exige um resgate para desbloqueá-lo.

O LockBit é um tipo de ransomware de uma longa linha de códigos maliciosos que visaram realizar ataques e obtenção de lucro por meio da extorsão. Ele era conhecido como ransomware “ABCD” e se tornou uma ameaça única.

Os ataques utilizando LockBit começaram em setembro de 2019, quando foi apelidado de “vírus. abcd”. O apelido era uma referência ao nome da extensão de arquivo usada ao criptografar os arquivos da vítima. Alvos notáveis incluem organizações nos Estados Unidos, China, Índia, Indonésia e Ucrânia. Outros países da Europa, como França, Reino Unido e Alemanha sofreram ataques.

Existem algumas variantes do LockBit, como por exemplo:

  • Extensão “.abcd”

A versão original do LockBit onde renomeia os arquivos com o nome de extensão “.abdc”. Além disso, inclui uma nota de resgate com demandas e instruções para supostas restaurações do arquivo “Restore-My-Files.txt”, inserido em todas as pastas.

  • Extensão “.LockBit”

A segunda versão conhecida deste ransomware adotou a extensão de arquivo “.LockBit”, dando-lhe o apelido atual. No entanto, as vítimas perceberão que outras características desta versão parecem quase idênticas, apesar de algumas revisões de backend.

  • Extensão “.LockBit” versão 2.

Esta 3ª variante não requer mais o download do navegador Tor nas instruções de resgate. Em vez disso, ele envia as vítimas para um site alternativo pelo acesso à Internet tradicional.

  • Extensão diversas utilizadas.

Esta última variante, conhecida como LockBit 3.0 ou LockBit Black, foi identificada em 2022 e utiliza algumas extensões aleatórias, como por exemplo “HLjkNskOq”, sendo que neste caso uma chave de linha de comando “-pass” é necessária para realizar a criptografia.

Salientamos ainda que este ransomware poderá agir como um Ransomware-as-a-Service (RaaS). As pessoas dispostas fazem um depósito para uso de ataques personalizados de aluguel e lucram com uma estrutura de afiliados. Os pagamentos dos resgates são divididos entre a equipe de desenvolvedores do LockBit e os afiliados do ataque, que recebem até ¾ dos fundos do resgate.

Os agentes maliciosos que operam o ransomware deixam a sua marca realizando algumas ações durante e após o ataque, como:

  • Interrupção de operações de sistemas.
  • Extorsão para realizar o pagamento e obter ganhos financeiros.
  • Roubo de dados e publicações ilegais como chantagem, caso a vítima não realize o pagamento.

A título de exemplo, possuem site na Darkweb/Deepweb que pode ser acessado e que mostra quais foram suas vítimas, bem como todos os detalhes relacionados ao referido grupo, como programa de filiados, bug bounty etc.

Últimas aparições do LockBit 3.0

O grupo LockBit realizou o pagamento do primeiro Bug Bounty (programa de recompensa a pessoas que identificam bugs em programas). O valor pago foi de US$50.000 pela descoberta de um bug no software criptográfico. O bug identificado permitia que qualquer pessoa descriptografasse qualquer arquivo vmdk ou vhdx. A informação foi publicada no site do grupo.

Figura 2 – fonte: https://www.cisoadvisor.com.br/ransomware-pagou-us-50-mil-em-premio-de-bug-bounty/

Recentemente, em setembro deste ano, um usuário denominado “Ali Qushju” realizou uma publicação no Twitter afirmando que teria invadido os servidores da plataforma de Ransomware-as-a-Service da LockBit e logrou êxito em descobrir um compilador do criptografado de ransomware LockBit 3.0. Na mesma publicação, informou um endereço da plataforma de armazenamento SendSpace e uma senha, sendo que os referidos arquivos tratam-se de arquivos para realizar a criação e um Decrypter para a amostra do LockBit 3.0.

A ISH Tecnologia realizou a análise dos referidos artefatos obtidos, logrando êxito ainda em identificar mais um executável do ransomware LockBit, inclusive realizando a primeira submissão do arquivo ao Vírus Total, que de pronto assimilou o referido código com outras amostras e categorizando-a como Ransomware.LockBit e Ransomware.BlackMetter.  

Posteriormente à suposta invasão a criação do decrypter do ransomware, o grupo LockBit se manifestou por meio de uma nota em fóruns restritos, conforme imagem abaixo:

Diante de todo o comentário acima, podemos concluir que o mercado de ransomware é altamente lucrativo. Inclusive, entre os próprios grupos mencionados acima, existem determinadas concorrências e grande caça de todas as organizações e forças tarefas policiais para identificar os criadores e operadores dos referidos grupos maliciosos.

Análises de artefatos do LockBit

Após introduzirmos todos os pontos voltados à criação, operação e às notícias recentes, podemos realizar a análise de alguns samples utilizados pela LockBit. Abaixo, seguem todas as IOCs identificadas dos artefatos maliciosos:

File-nameLB3.exe
MD52614ba00bdf6847e0b30f66332fabd0a
SHA-19291f4ec6ebf96502b3ec07d7af9ab4fdaea8a08
SHA-256aa0d0c6dcb69623ac4cfd87ecd991d8fe55807cec6628b92ba698844a24ba58e
Imphash41fb8cb2943df6de998b35a9d28668e8
TrID (File type)Win32 Dynamic Link Library
Virus Totalhttps://www.virustotal.com/gui/file/aa0d0c6dcb69623ac4cfd87ecd991d8fe55807cec6628b92ba698844a24ba58e/detection
File-nameLBB_pass.exe
MD57fb11398c5be61445bee1efa7c9caa31
SHA-1ced1c9fabfe7e187dd809e77c9ca28ea2e165fa8
SHA-256f9b9d45339db9164a3861bf61758b7f41e6bcfb5bc93404e296e2918e52ccc10
Imphash50e4645798779602979868f1b8517523
TrID (File type)Win32 Dynamic Link Library (generic)
Virus Totalhttps://www.virustotal.com/gui/file/f9b9d45339db9164a3861bf61758b7f41e6bcfb5bc93404e296e2918e52ccc10/detection
File-nameLBB_pass.exe
MD503b14473eef5b7e38d9a5041c1af0a76
SHA-1371353e9564c58ae4722a03205ac84ab34383d8c
SHA-256a56b41a6023f828cccaaef470874571d169fdb8f683a75edd430fbd31a2c3f6e
Imphasha50a0d82b9120fc73965c28fea79e1f9
TrID (File type)Win32 Dynamic Link Library (generic)
Virus Totalhttps://www.virustotal.com/gui/file/a56b41a6023f828cccaaef470874571d169fdb8f683a75edd430fbd31a2c3f6e/detection
File-namelockbit_v3_unpacked.mal_
MD5628e4a77536859ffc2853005924db2ef
SHA-1c2a321b6078acfab582a195c3eaf3fe05e095ce0
SHA-256d61af007f6c792b8fb6c677143b7d0e2533394e28c50737588e40da475c040ee
Imphasha50a0d82b9120fc73965c28fea79e1f9
TrID (File type)Win32 Dynamic Link Library
Virus Totalhttps://www.virustotal.com/gui/file/aa0d0c6dcb69623ac4cfd87ecd991d8fe55807cec6628b92ba698844a24ba58e/detection

Todas os artefatos utilizados na análise foram submetidos ao Vírus Total, obtendo em todas as hipóteses a identificação como artefato malicioso do tipo ransomware, podendo ser consultados por meio dos links do Virus Total inserido nas tabelas em anexo. Um dos pontos importantes é que a entrega inicial das cargas úteis do ransomware LockBit é normalmente tratada por meio de estruturas de terceiros, como Cobalt Strike.

As cargas úteis são arquivos padrões do Windows PE (executáveis) com muitas semelhanças com as gerações anteriores do LockBit e todas as famílias de ransomware BlackMatter.

Em análise do comportamento destes artefatos, foram utilizados diversos meios de persistência no Sistema Operacional – lembrando ainda que cada execução do artefato instalará vários serviços, utilizando-se o SecurityHealthService do Sistema Operacional, no qual realiza a chamada de outros serviços no sistema operacional, como por exemplo: svchost, wsappx, wscsvc, WinDefend, sppsvc, VSSentre outros.

Outro fato relevante é caso o sistema operacional for afetado, ele estará com serviços do tipo msexchange, sophos, veear, memtas sql, vs e outros serviços.

A título de exemplo do que iremos falar logo abaixo, no caso de execução com executável/artefato contendo proteção Anti-Debugger e Anti-VM, ele irá cancelar o processo, ou seja, não irá realizar o seu comportamento normal:

Figura 4 – A utilização do processo de WerFault.exe do Sistema Operacional, tendo em vista ser executado em VM, não irá realizar seu comportamento normal.
Figura 5 – Exemplo de execução sem a necessidade de código (-pass) e Anti-VM/Anti-Debugger

Após a execução da criptografia, por esta ser muito rápida, ela será capaz de criptografar todo o host em questões de minutos mesmo quando estiver espalhado para hosts adjacentes.

No caso da execução do LockBit 3.0, foi possível verificar diversas notas de resgastes criadas em conjunto com um plano de fundo na área de trabalho. A título de exemplo segue o modelo da nota de resgate utilizada pelo LockBit3.0:

Conforme mencionado, a área de trabalho do host também é alterada, passando a ser exibido neste caso conforme a imagem abaixo:

A extensão utilizada nos arquivos será diferente por determinada amostra ou campanha, houve casos em que utilizaram extensões do tipo, “HLJkNskOq”, “futRjC7nx”, “8CXBivJ6f” e “WTHEfoi8l”.

Um dos pontos interessantes em caso de Resposta a Incidentes é que o executável do referido ransomware, após a execução, se copia para o diretório %programdata%, sendo possível identificar a criação de Regras Yara. Após a infecção e a ativação dos serviços e das ações realizadas pelo ransomware, as vítimas do LockBit 3.0 são instruídas a entrar em contato com o invasor por meio do portal de “suporte” utilizando-se o TOR.

Diante disto, a vítima neste caso possui um sistema totalmente infectado pelo referido ransomware, sendo neste caso, a possibilidade de reversão do sistema por meio de backups.

LockBit e a sua antianálise e antiforense

Estas amostras do LockBit 3.0 usam uma variedade de técnicas antianálise visando dificultar a análise estática e dinâmica, apresentando ainda semelhanças com o ransomware BlackMetter. Dentre essas técnicas estão o empacotamento de código, ofuscação e resolução dinâmica de endereços de função, trampolins de funções, técnicas antidebuger.

Saliento que as cargas úteis do LockBit 3.0 exigem uma senha específica para que sejam executadas, sendo que estas senhas são exclusivas para cada amostra ou campanha e serve para dificultar a análise dinâmica e de sandbox caso a senha não tinha sido recuperada junto com a amostra.  

O conteúdo criptografado localizado na carga útil do LockBit 3.0 é descriptografado em tempo de execução utilizando uma máscara XOR.

A título de exemplo, o conteúdo da seção .text (segmento de executável) está de forma criptografada:

O LockBit 3.0 também realiza o ofuscamento de endereços de funções que os trampolins executam usando a técnica de ofuscação XOR e/ou rotação de bits. Outras técnicas foram identificadas para detectar a presença de um debugger e dificultar a análise dinâmica, por exemplo, ele avalia os parâmetros de memória heap que indicam a presença de um debugger. Os sinalizadores são por exemplo: HEAP_TAIL_CHECKING_ENABLED (0x20) e HEAP_VALIDATE_PARAMETERS_ENABLED (0x4000000).

Outro fato relevante é que o LockBit 3.0 executa a NtSetInformatonThread através de um trampolim, de forma que o ThreadHandle e ThreadInformationClass tenha como parâmetros de função os valores de 0Xfffffffe e 0x11. Com isto, passa a interromper o fluxo de eventos do encadeamento do ransomware para um debugger anexado, o que passa a ocultar o thread do debugger e dificulta a análise dinâmica.

Em resumo, possui muitas funções que impedem a referida análise em debuggers, sendo que outro fato relevante é que, em pesquisas recentes realizadas pelo pesquisador Chuong Dong, foi descoberto que possui muitas semelhanças entre o ransomware LockBit 3.0 e o ransomware BlackMetter, como visto na página apresentada a seguir: https://chuongdong.com/reverse%20engineering/2021/09/05/BlackMatterRansomware/.   

Em outras amostras do LockBit 3.0, utilizam-se a técnica antiforense de exclusão de arquivo – ou seja, em vez de usar o CMD.EXE para executar um arquivo em lote ou comando que executará a exclusão, ele descarta e executa um arquivo “.tmp” descriptografado do binário. O arquivo .tmp executado substitui o conteúdo do binário do ransomware e, em seguida, renomeia o binário várias vezes, com os novos nomes de arquivos com base no comprimento do nome do arquivo original.

A título de exemplo, caso o executável do LockBit 3.0 possua 9 caracteres, Lock.exe (incluindo a extensão), ele irá ser renomeado para AAAAAAAAA, em seguida BBBBBBBBB, até ZZZZZZZZZ. Após todas as renomeações possíveis do arquivo, o LockBit 3.0 finalmente o exclui, sendo esta uma tentativa do grupo LockBit de evitar a recuperação por meio de técnicas forenses, removendo seus vestígios do ransomware.

Domínios utilizados pelo LockBit 3.0

  • http://lockbitapt2d73krlbewgv27tquljgxr33xbwwsp6rkyieto7u4ncead[.]onion
  • http://lockbitapt2yfbt7lchxejug47kmqvqqxvvjpqkmevv4l3azl3gy6pyd[.]onion
  • http://lockbitapt34kvrip6xojylohhxrwsvpzdffgs5z4pbbsywnzsbdguqd[.]onion
  • http://lockbitapt5x4zkjbcqmz6frdhecqqgadevyiwqxukksspnlidyvd7qd[.]onion
  • http://lockbitapt6vx57t3eeqjofwgcglmutr3a35nygvokja5uuccip4ykyd[.]onion
  • http://lockbitapt72iw55njgnqpymggskg5yp75ry7rirtdg4m7i42artsbqd[.]onion
  • http://lockbitaptawjl6udhpd323uehekiyatj6ftcxmkwe5sezs4fqgpjpid[.]onion
  • http://lockbitaptbdiajqtplcrigzgdjprwugkkut63nbvy2d5r4w2agyekqd[.]onion
  • http://lockbitaptc2iq4atewz2ise62q63wfktyrl4qtwuk5qax262kgtzjqd[.]onion
  • http://lockbit7z2jwcskxpbokpemdxmltipntwlkmidcll2qirbu7ykg46eyd[.]onion
  • http://lockbit7z2mmiz3ryxafn5kapbvbbiywsxwovasfkgf5dqqp5kxlajad[.]onion
  • http://lockbit7z2og4jlsmdy7dzty3g42eu3gh2sx2b6ywtvhrjtss7li4fyd[.]onion
  • http://lockbit7z355oalq4hiy5p7de64l6rsqutwlvydqje56uvevcc57r6qd[.]onion
  • http://lockbit7z36ynytxwjzuoao46ck7b3753gpedary3qvuizn3iczhe4id[.]onion
  • http://lockbit7z37ntefjdbjextn6tmdkry4j546ejnru5cejeguitiopvhad[.]onion
  • http://lockbit7z3azdoxdpqxzliszutufbc2fldagztdu47xyucp25p4xtqad[.]onion
  • http://lockbit7z3ddvg5vuez2vznt73ljqgwx5tnuqaa2ye7lns742yiv2zyd[.]onion
  • http://lockbit7z3hv7ev5knxbrhsvv2mmu2rddwqizdz4vwfvxt5izrq6zqqd[.]onion
  • http://lockbit7z3ujnkhxwahhjduh5me2updvzxewhhc5qvk2snxezoi5drad[.]onion
  • http://lockbit7z4bsm63m3dagp5xglyacr4z4bwytkvkkwtn6enmuo5fi5iyd[.]onion
  • http://lockbit7z4cgxvictidwfxpuiov4scdw34nxotmbdjyxpkvkg34mykyd[.]onion
  • http://lockbit7z4k5zer5fbqi2vdq5sx2vuggatwyqvoodrkhubxftyrvncid[.]onion
  • http://lockbit7z4ndl6thsct34yd47jrzdkpnfg3acfvpacuccb45pnars2ad[.]onion
  • http://lockbit7z55tuwaflw2c7torcryobdvhkcgvivhflyndyvcrexafssad[.]onion
  • http://lockbit7z57mkicfkuq44j6yrpu5finwvjllczkkp2uvdedsdonjztyd[.]onion
  • http://lockbit7z5ehshj6gzpetw5kso3onts6ty7wrnneya5u4aj3vzkeoaqd[.]onion
  • http://lockbit7z5hwf6ywfuzipoa42tjlmal3x5suuccngsamsgklww2xgyqd[.]onion
  • http://lockbit7z5ltrhzv46lsg447o3cx2637dloc3qt4ugd3gr2xdkkkeayd[.]onion
  • http://lockbit7z6choojah4ipvdpzzfzxxchjbecnmtn4povk6ifdvx2dpnid[.]onion
  • http://lockbit7z6dqziutocr43onmvpth32njp4abfocfauk2belljjpobxyd[.]onion
  • http://lockbit7z6f3gu6rjvrysn5gjbsqj3hk3bvsg64ns6pjldqr2xhvhsyd[.]onion
  • http://lockbit7z6qinyhhmibvycu5kwmcvgrbpvtztkvvmdce5zwtucaeyrqd[.]onion
  • http://lockbit7z6rzyojiye437jp744d4uwtff7aq7df7gh2jvwqtv525c4yd[.]onion
  • http://lockbitsupa7e3b4pkn4mgkgojrl5iqgx24clbzc4xm7i6jeetsia3qd[.]onion
  • http://lockbitsupdwon76nzykzblcplixwts4n4zoecugz2bxabtapqvmzqqd[.]onion
  • http://lockbitsupn2h6be2cnqpvncyhj4rgmnwn44633hnzzmtxdvjoqlp7yd[.]onion
  • http://lockbitsupo7vv5vcl3jxpsdviopwvasljqcstym6efhh6oze7c6xjad[.]onion
  • http://lockbitsupq3g62dni2f36snrdb4n5qzqvovbtkt5xffw3draxk6gwqd[.]onion
  • http://lockbitsupqfyacidr6upt6nhhyipujvaablubuevxj6xy3frthvr3yd[.]onion
  • http://lockbitsupt7nr3fa6e7xyb73lk6bw6rcneqhoyblniiabj4uwvzapqd[.]onion
  • http://lockbitsupuhswh4izvoucoxsbnotkmgq6durg7kficg6u33zfvq3oyd[.]onion
  • http://lockbitsupxcjntihbmat4rrh7ktowips2qzywh6zer5r3xafhviyhqd[.]onion

IOCs coletadas e identificadas pelo GTI

Abaixo, apresentamos informações sobre o top 10 das principais IOCs relacionadas ao LockBit 3.0 nos últimos 30 dias, coletadas e reunidas pelo Global Threat Intelligence – GTI da ISH.

Podemos observar que as principais IOCs relacionados aos agentes maliciosos LockBit 3.0 é a utilização de URL maliciosas e também demais IOCs relacionadas aos arquivos (assinaturas). Além do mencionado acima, sabemos que o principal rastro que agentes maliciosos deixam pelo caminho é o endereço de IP, que claramente possui um grande valor para a investigação de um ataque cibernético, uma vez que poderá ser enriquecida e auxiliada com dados de geolocalização.

A ISH coleta e analisa diariamente a atividade maliciosa desses principais ofensores conforme imagem abaixo:

Geolocalização de endereços IP maliciosos analisados pela ISH
Números coletados referente ao mês de setembro

Recomendações:

Abaixo, listamos algumas dicas de segurança a serem adotadas e utilizadas em todos os ativos e infraestrutura da sua organização.

  1. Implementar senhas fortes.
  2. Ativar Autenticação de Duplo Fator (MFA).
  3. Reavaliar e simplificar as permissões de conta de usuário.
  4. Ter sempre backups de todo o sistema e snapshots/imagens da máquina local preparada e armazenadas de forma segura, para que em caso de ransomwares, sejam utilizadas.
  5. Utilizar ferramentas de monitoramento de e-mails, rede e demais métodos de entradas e saídas de arquivos e dados da empresa, visando identificar de imediato arquivos potencialmente maliciosos.
  6. Recomendamos ainda que seja utilizado as informações extraídas, consumindo as IOCs em ferramentas de monitoramento contínuo na infraestrutura.

Referências:

  1. Heimdall Global Threat Intelligence by ISH (GTI)
  2. Malware Bazzar
  3. Conteúdo do Analista, Caique Barqueta.