Analisamos o Ransomware AlphV e seus impactos para as organizações com vazamento de dados pessoais

Por Caique Barqueta: O Ransomware ALPHV, também conhecido como BlackCat, Alphvm ou Noberus; é uma família de ransomware que utiliza o método de Ransomware-as-a-Service (RaaS) em suas operações.

Este ransomware foi detectado pela primeira vez em novembro de 2021 e atingiu diversas organizações nos primeiros meses de operações, sendo que um dos pontos que chamou a atenção foi ter sua escrita e desenvolvimento na linguagem de programação Rust. Além disso, tem a criação do payload específico, possuindo suporte a variante do Windows e Linux, incluindo recursos específicos para hosts VMware ESXi.

Alguns relatórios disponíveis associaram que o grupo em questão foi criado por ex-membros de outros grupos de cibercriminosos, como o BlackMatter, REvil e DarkSide.

Devido o seu grande potencial de causar prejuízos a organizações, foi “eleito” o ransomware mais sofisticado em 2021, sendo que, em abril de 2022, o FBI divulgou um alerta que destacou os TTPs e indicadores conhecidos (IOCs) associados ao ALPHV, os quais estão incorporados a este relatório.

A venda do referido ransomware se deu por meio de anúncios em fóruns clandestinos de origem russa.

Figura 1. Ransomware ALPHV RaaS sendo divulgado em fórum clandestino.

O perfil de pesquisadores no Twitter conhecido como MalwareHunterTeam nomeou o ransomware como BlackCat devido ao mesmo favicon de um gato preto usando uma adaga ensanguentada no site de vazamento de dados via Rede Tor.

Figura 2. Favicons utilizados no site de pagamento e vazamento de dados.

Como mencionado, por haver uma operação de Ransomware-as-a-Service (RaaS), os operadores do ALPHV recrutam afiliados para realizar violações corporativas e criptografar dispositivos e, em troca, os afiliados ganharão parcelas de receitas variáveis com base no valor do pagamento do resgate.

Exemplos:

  • Em resgates de até US$1,5 milhões, o afiliado recebe 80% a 85%.
  • Em resgates de até US$3 milhões, o afiliado recebe 90%.

Sendo que, no início, o encerramento das operações de outros de ransomware acabou por ajudar o ALPHV a “prospectar” novos afiliados, aumentando seu potencial de dano para as organizações.

Análise e detalhes técnicos do ransomware

Foi realizada a análise por pesquisadores visando explorar os recursos da variante de 2021 do ALPHV, a qual incluiu alguns recursos avançados que se destacam de outras operações de ransomware.  

Esta carga é totalmente controlada por linha de comando, operada por humanos, possui a capacidade de ser configurável de acordo com o ambiente, usar diferentes rotinas de criptografia, propagar-se lateralmente para outros ativos, infectar máquinas virtuais VMware ESXi e limpar automaticamente os instantâneos ESXi para evitar a recuperação.            

Abaixo, são as opções do payload quando utilizado o argumento “–help”.

Figura 3. Opções para serem utilizadas pelo payload malicioso.

Cada executável ALPHV incluiu uma configuração JSON que permitia a personalização de extensões, notas de resgate, pastas/arquivos/extensões; como os dados serão criptografados e os serviços e processos a serem encerrados automaticamente.

O ransomware poderia ser configurado para usar quatro modos de criptografia diferentes, conforme a publicação no fórum.

Figura 4. Rotinas de criptografias de acordo com o anúncio.

Segue a tradução:

“O software é escrito do zero sem utilizar nenhum modelo ou códigos-fontes vazados anteriormente de outro ransomware. A escolha oferecida é:

4 modos de criptografia:

  • Full – Criptografia de arquivos completa (o mais seguro e lento).
  • Fast – Criptografia dos primeiros N megabytes (não recomendado para uso, a solução mais insegura possível, mas a mais rápida).
  • DontPattern – Criptografia de N megabytes por M passo (se configurado incorretamente, o Fast pode funcionar pior tanto em velocidade quanto em força criptográfica).
  • Auto – Dependendo do tipo e tamanho do arquivo, o locker (tanto no Windows quanto no NIX/ESXi) escolhe a estratégia mais ideal, em termos de velocidade/segurança para os processamentos de arquivos.
  • SmartPattern – Criptografia de N megabytes em passos percentuais (por padrão, ele criptografa 10 megabytes a cada 10% do arquivo a partir do cabeçalho. O modo mais ideal na proporção de velocidade/força criptográfica).
    • 2 algoritmos de criptografia:
      • ChaCha20
      • AES

No modo automático, o software detecta a presença de suporte de hardware AES (existe em todos os processadores modernos) e o utiliza. Se não houver suporte AES o software criptografa arquivos ChaCha20.”

O sistema operacional nos quais o ator malicioso criou o ransomware possui o suporte para os sistemas:

  • Windows 7 e superior (testado em 7, 8.1, 10, 11; 2008r2, 2012, 2016, 2019, 2022); XP e 2003 podem ser criptografados em SMB)
  • Servidores ESXi (testado em 5.5, 6.5, 7.0.2u)
  • Debian (testado em 7, 8 e 9)
  • Ubuntu (testado em 18.04, 20.04)
  • ReadyNas, Synology

O ALPHV também pode ser configurado com credenciais de domínio que podem ser usadas para propagar o ransomware e criptografar outros dispositivos na rede. O executável irá então extrair o PSExec para a pasta %Temp% e usá-lo para copiar o ransomware para outros dispositivos na rede e executá-lo para criptografar a máquina Windows conectada remotamente.

Ao iniciar o ransomware, o afiliado pode utilizar uma base de interface gráfica baseada em console que permite monitorar a progressão do ataque.

Figura 5. Criptografando arquivos de testes.

Na amostra analisada, o ransomware encerrará processos e serviços do Windows que podem impedir que os arquivos sejam criptografados. Esses processos encerrados acabam por incluir o Veeam (software de backup), servidores de banco de dados, Microsoft Exchange, aplicativos Office, clientes de e-mails e outros.

Outra ação realizada é a limpeza da lixeira, exclusão de cópias de volume de sombras (shadow copy), verificação de outros dispositivos da rede e conexão a um cluster da Microsoft.

Por fim, após a rotina de criptografia, o ransomware alterará uma extensão de nome aleatória que é anexada a todos os arquivos e incluída na nota de resgate. A nota de resgate é nomeada no formato “RECOBER-[extensão]-FILES.txt”.

Figura 6. Exemplo de nota de resgate criada pela Bleeping Computer.

Para entrar em ação, o ransomware necessita ser executado com parâmetros relacionado ao token de acesso e, caso seja executado sem o referido token, o executável não se inicia.

Figura 07. Tentativa de execução do ransomware.

O token é personalizado para cada tipo de vítima, ou seja, para cada execução será necessário obter o token de inicialização dos parâmetros do ransomware para vincular o executável com o argumento, sendo utilizado neste caso um token de 32 caracteres para iniciá-lo.

Em outros ataques cibernéticos, foi observado que os invasores utilizaram vários softwares de acessos remotos para obter método de backup para se conectarem remotamente às redes dos alvos, utilizando ferramentas como AnyDesk e TeamViewer, instalando ainda uma ferramenta de acesso remoto chamada ngrok.

Figura 08. Exemplo de script do PowerShell utilizado pelos atores para baixar a ferramenta AnyDesk e incluir um valor de senha ao cliente.

Outro fato mencionado é que existem variantes para outros sistemas operacionais, como por exemplo para sistemas Linux, sendo esta variante identificada em dezembro de 2021.

Figura 09. Menu –help da variante Linux do ALPHV.
Figura 10. Conteúdo do arquivo JSON de configuração do ransomware.

Cadeia do ataque e TTPs

Além do mencionado acima, o ALPHV adota algumas ações padrões a outros tipos de ataques de ransomware operados por humanos, como o comprometimento inicial, exploração e exfiltração de dados, preparação do ataque e execução.

Figura 11. Cadeia de ataque utilizada pelo Ransomware ALPHV (BlackCat).

Durante a cadeia de ataque, foram observadas a utilização de ferramentas como 7zip, LaZagne, MEGAsync, Mimikatz, PsExec, WebBrowserPassView, ConnectWise Control, Cobalt Strike, NetScan, Bloodhound, CrackMapExec, Inveigh e Rclone, sendo que tais ferramentais são algumas das utilizadas também por outros tipos de operadores de ransomware.

Além disso, foram observadas algumas das TTPs abaixo, utilizadas pelos operadores do ALPHV, que podem ser observadas e caso haja identificação da combinação de tais técnicas, poderá ser identificado um possível ataque ransomware vinculado ao ALPHV.

TécnicaTática
Initial Access (TA0001)Valid Accounts (T1078)    
Collection (TA0009)Data from Local System (T1005)   Archive Collected Data (T1560)
Persistence (TA0003)Create or Modify System Process:Windows Service (T1543.003)
Defense Evasion (TA0005)Modify Registry (T1112)   Impair Defenses: Disable or Modify Tools (T1562-001)   Obfuscated Files or Information (T1027)   Obfuscated Files or Information: Software Packing (T1027.002)   Deobfuscate/Decode Files or Information (T1140)   Indirect Command Execution (T1202)   Use Alternate Authentication Material: Pass the Hash (T1550.002)   System Binary Proxy Execution: CMSTP (T1218.003)  
Credential Access (TA0006)Dump lsass (T1003.004)   Unsecured Credentials (T1552)   Adversary-in-the-Middle:LLMNR/NBT-NS Poisoning and SMB Relay (T1557.001)    
Exfiltration (TA0010)Exfiltration Over Web Service: Exfiltration to Cloud Storage (T1567.002)    
Execution (TA0002)Windows Management Instrumentation (T1047)   Scheduled Task/Job:Cron (T1053.003)   Command and Scripting Interpreter (T1059)   Shared Modules (T1129)   System Services: Service Execution (T1569.002)  
Discovery (TA0007)System Network Connections Discovery (T1049)   System Service Discovery (T1007)   Process Discovery (T1057)   System Information Discovery (1082)   File and Directory Discovery (T1083)
Lateral Moviment (TA0008)SMB/Windows Admin Shares (T1021.002)   RDP (T1021.001)   Lateral Tool Transfer (T1570)  
Command and Control (TA0011)Proxy: Multi-hop Proxy (T1090.003)   Ingress Tool Transfer (T1105)  
Impact (TA0040)Data Destruction (T1485)   Data Encrypted for Impact (T1486)   Service Stop (T1489)   Inhibit System Recovery (T1490)   Network Denial of Service (T1498)   Endpoint Denial of Service (T1499)   Account Access Removal (T1531)  

CVEs utilizadas

Nos ataques cibernéticos identificados, foram verificadas a exploração de quatro vulnerabilidades conhecidas e já publicadas que foram exploradas pelos agentes de ameaças da ALPHV, sendo:

  • CVE-2021-31207: Vulnerabilidade do Microsoft Exchange Server.
  • CVE-2021-34473: Vulnerabilidade de execução remota de código do Microsoft Exchange Server.
  • CVE-2021-34523: Vulnerabilidade de elevação de privilégios do Microsoft Exchange Server.
  • CVE-2016-0099: Vulnerabilidade no serviço de logon secundário do Microsoft Windows Vista SP2, Windows Server 2008 SP2 e R2 SP1, Windows 7 SP1, Windows 8.1, Windows Server 2012 Gold e R2, Windows RT 8.1 e Windows 10 Gold e 1511 os quais poderiam permitir que os usuários locais obtenham privilégios por meio de um aplicativo criado.

Vazamento de dados

O ALPHV, utiliza um site de data leak para publicação de suas vítimas, sendo que o referido site pode ser acessado via Rede Tor.

Figura 12. Site de data leak do ALPHV.

Na primeira semana de março de 2023, foi identificado um ataque cibernético a uma empresa do segmento de serviços médicos e hospitalares, no qual o ALPHV realizou a exfiltração de dados, sendo que dentre os dados pessoais foram divulgadas fotografias de pessoas que estão realizando o tratamento de saúde em diversos tipos de diagnósticos.

Essa atitude demonstra claramente que os operadores de ransomware estão cada vez utilizando argumentos e métodos de extorsões para que as organizações sejam forçadas a realizarem o pagamento de resgate ou até mesmo para que não seja realizada a divulgação dos dados pessoais.

Conclusão

Na época da identificação do referido ransomware BlackCat, ou ALPHV, devido a paralização das operações do REvil e BlackMatter surgiu uma oportunidade para que o BlackCat pudesse assumir o nicho dos ataques de ransomware em conjunto com os operadores do LockBit.

O BlackCat possui alguns detalhes relevantes, como a compilação em linguagem de programação diversa dos mais comuns operadores de ransomware, utilizando a linguagem Rust.

Outro fato relevante é que o ALPHV realiza ataques cibernéticos a diversas instituições, não optando por um segmento específico, realizando ainda a exfiltração de dados e informações relevantes para os operadores para que sejam utilizados de forma a complementar a extorsão dos pagamentos.

Hunting the ALPHAV

Além das recomendações que serão tratadas abaixo, existem algumas outras opções e ações que podem servir para caça e identificação de atividades do Alphv/ BlackCat em sua rede ou infraestrutura.

  • Identificação de tráfego SMB suspeitos.
  • Exclusão do “Shadow Copy” via “vssadmin”.
  • Modo de recuperação editado ou desativado utilizando “bcedit.exe”
  • Propagação via “psexec”.
  • Utilização de ferramenta antiforenses como o wiper de arquivos
  • UUID de máquina coletada via comandos WMIC.
    • O identificador universalmente exclusivo (UUID) é usado posteriormente, junto com o token, para identificar a vítima em um site Tor hospedado pelos agentes mal-intencionados.
  • Execução de comandos da tabela ARP para exibir entradas ARP atuais.
  • Limpeza de todos os logs de eventos via “wevutil.exe”.

Recomendações

Além dos indicadores de comprometimento elencados abaixo pela ISH, poderão ser adotadas medidas visando a mitigação da infecção do referido malware, como:

  • Realização de backups regulares: Armazene cópias de segurança de todos os dados importantes em um local seguro e desconectado;
  • Realização de atualizações de softwares: Mantenha todos os softwares de ativos atualizados, incluindo sistemas operacionais e aplicativos.
  • Utilização de proteção de rede, como firewalls, antivírus e outras medidas de segurança para proteger sua rede.
  • Realização do trabalho de conscientização com os colaboradores, ensinando aos mesmos a reconhecer e evitar ameaças, como phishing e/ou clicar em links maliciosos.
  • Monitoração regular da sua rede e sistemas para identificar e responder rapidamente a qualquer atividade suspeita.
  • Criação e aplicação de um plano de resposta de incidentes, sendo que em caso de ataques de ransomware poderão ser utilizados e conterão informações como questões relacionadas a backups e recuperação de sistema.

Indicadores de Comprometimento

A ISH Tecnologia realiza o tratamento de diversos indicadores de compromissos coletados por meio de fontes abertas, fechadas e também de análises realizadas pela equipe de segurança Heimdall. Diante disto, abaixo listamos todos os Indicadores de Compromissos (IOCs) relacionadas a análise do(s) artefato(s) deste relatório.

Indicadores de compromisso de artefato malicioso/ analisado
md5:b6b9d449c9416abf96d21b356a41a28e
sha1:38fa2979382615bbee32d1f58295447c33ca4316
sha256:be8c5d07ab6e39db28c40db20a32f47a97b7ec9f26c9003f9101a154a5a98486
File name:plLZT9yYjuyYODz2M6HuVviEqlgEgC.exe
Indicadores de compromisso de artefato malicioso/ analisado
md5:843001980e5073c7f0ea8b56873246b8
sha1:36dff07387cf3f2393339d30d0672fcbccc7a73c
sha256:5121f08cf8614a65d7a86c2f462c0694c132e2877a7f54ab7fcefd7ee5235a42
File name:blackcat.elf. rust
Indicadores de compromisso de artefato malicioso/ analisado
md5:79fea7f741760ea21ff655137af05bd0
sha1:9146a448463935b47e29155da74c68d16e0d7031
sha256:f8c08d00ff6e8c6adb1a93cd133b19302d0b651afd73ccb54e3b6ac6c60d99c6
File name:blackcat
Indicadores de compromisso de artefato malicioso/ analisado
md5:db7a7403e5e248d0e96efe67cef73449
sha1:11331c98855fdf42bd94a84687661c682336fea9
sha256:847fb7609f53ed334d5affbb07256c21cb5e6f68b1cc14004f5502d714d2a456
File name: 
Indicadores de compromisso de artefato malicioso/ analisado
md5:a7066d859ebbb72dbf7e389315af602a
sha1:62ef117c4e6498ec4ecc5b16b8b26fb7f0856530
sha256:6253659a160638bb4622dcf28a4f0e0474129794827de68bc276bc4b29e0addf
File name:yyy.exe
Indicadores de compromisso de artefato malicioso/ analisado
md5:b00b5eb046fe27f645b2a9b7aecc0205
sha1:cade2b4fd89e611c335edacc749ddc33899b95f2
sha256:326993f7e516c7a9608bb8bdc9a7ae162ca485f70a97ede3fd9ba137878c66e5
File name:ananadae.exe
Indicadores de compromisso de artefato malicioso/ analisado
md5:0c4a0c871ebe8a24e8406f351606cd32
sha1:f73f1cea4f873e9c6c105598f90af40a52a4b613
sha256:e3ab77bd18631ec47eeaed44753cd9d55db0db7e5961f486f5963013656dc3df
File name:winlogon.exe
Indicadores de compromisso de artefato malicioso/ analisado
md5:676edc977738e12afe401808f7f45b18
sha1:e15d990f8105ed7ff5453988c14dc16173024b66
sha256:53570d6534ecb6c826a2ae043a6d9ae6c026bbb35a48d8bb750a6b6f03525a03
File name:netlogon.exe

URLs de distribuição e IPs C2:

52.149.228.45
20.46.245.56

Além destes Indicadores de Comprometimento relacionados ao ALPHV, a ISH Tecnologia, por meio do GTI (Global Threat Intelligence) aos cuidados do time de Inteligência Heimdall, coleta e trata todos os dias indicadores relacionadas a diversas ameaças, bem como tratando diariamente por exemplo, endereços de IPs maliciosos, domínios, hashes de arquivos entre outros, havendo a possibilidade de entrega de indicadores advindos de incidentes e de indentificação de ameaças.

Figura 13. Indicadores de Comprometimento tratado pela ISH via GTI.

No exemplo acima, constam todos os hashes tratados pela ISH, bem como o exemplo abaixo trata do evento relacionado ao Ransomware ALPHV no qual foram coletadas diversas outras IOCs deste ator de ameaças, cuja entrega poderá se dar por meio do GTI.

Figura 14. Indicadores de Comprometimento vinculados ao GTI do AlphV
Figura 15. Indicadores de Comprometimento vinculados ao GTI do AlphV

Referências

  • Heimdall by ISH Tecnologia
  • GTI – Global Threat Intelligence by ISH
  • Ransomware ALPHV, o ransomware mais sofisticado do ano 2021.
  • Publicação identificando a variante em Rust do Ransomware BlackCat/Alphv
  • Publicação Fórum Russo ALPHV-RaaS
  • Linux variant ALPHV publicação
  • CVEs
    • CVE-2021-31207.