Ransomware BlackByte desativa serviços essenciais de segurança e explora falhas: saiba detalhes da operação e como se proteger

Por Heimdall: O Ransomware BlackByte é conhecido por sua abordagem altamente sofisticada em ataques a sistemas corporativos e governamentais. Desde seu surgimento, tem evoluído e se adaptado, utilizando técnicas avançadas para comprometer sistemas e se mover lateralmente nas redes afetadas. O grupo possui um site de DLS (Data Leak Site) na rede Tor e publica as possíveis vítimas neste site, atuando como uma forma de dupla extorsão.

Entre suas táticas principais está o uso de ferramentas para desativar serviços críticos e explorar vulnerabilidades conhecidas, como CVE-2021-34473, CVE-2021-34523, CVE-2021-31207 (vulnerabilidades do ProxyShell), que permitem a execução remota de código em servidores Microsoft Exchange, além de outras falhas críticas.

O grupo por trás do BlackByte utiliza comandos de sistema para desativar firewalls, reconfigurar serviços essenciais e modificar registros do Windows para garantir persistência e evitar detecção. O ransomware também se destaca pelo uso de técnicas de BYOVD (Bring Your Own Vulnerable Driver), onde drivers vulneráveis, como RtCore64.sys (CVE-2019-16098), são implantados para contornar sistemas de defesa de endpoint. Além disso, o BlackByte integra técnicas de process hollowing, onde injetam código malicioso em processos legítimos para criptografar dados de maneira furtiva.

A exfiltração de dados é outra etapa fundamental do ataque, muitas vezes realizada por meio de ferramentas personalizadas, como ExByte, que coleta informações sensíveis e as envia para plataformas de compartilhamento como Mega NZ. O grupo explora também credenciais comprometidas para espalhar o ransomware pela rede, utilizando ferramentas como PsExec e se aproveitando de vulnerabilidades em dispositivos VMware ESXi (como a CVE-2024-37085), permitindo comprometer máquinas virtuais e controlar ambientes críticos de infraestrutura.

A combinação de ataques a vulnerabilidades conhecidas, desativação de serviços essenciais de segurança e exfiltração furtiva torna o BlackByte uma ameaça grave e persistente. Sua capacidade de se mover lateralmente nas redes, implantar criptografadores com diferentes chaves e realizar múltiplas ondas de criptografia, além da complexidade de seus binários, exige um enfoque robusto em defesa e resposta rápida para mitigar os impactos desses ataques devastadores.

Regiões e setores mais afetadas pelo grupo

O ransomware BlackByte tem focado suas atividades maliciosas em organizações de diferentes países ao redor do mundo. As regiões mais afetadas incluem os Estados Unidos, Canadá, Brasil, Itália, entre outros, conforme demonstrado no gráfico abaixo. Os criminosos têm mostrado grande habilidade em expandir suas operações globalmente, atacando organizações com infraestrutura vulnerável e sistemas expostos. Esses ataques resultam em interrupções significativas e prejuízos financeiros elevados. As organizações nessas regiões continuam sendo alvos frequentes, com o BlackByte aproveitando falhas de segurança para se infiltrar nos sistemas das vítimas e exigir resgates substanciais.

Países vítimas do BlackByte ransomware
Setores vítimas do BlackByte  ransomware

O gráfico acima mostra que o ransomware BlackByte atinge uma ampla gama de setores, com destaque para manufatura, consultoria e tecnologia entre os principais alvos. Outros setores, como construção, governo e alimentos, também são afetados, o que indica que o ransomware não se limita a uma área específica. Isso reflete a estratégia abrangente do grupo, que visa tanto setores críticos quanto outros segmentos da economia. A diversidade de setores vítimas demonstra o impacto generalizado e o amplo alcance das operações do ransomware.

Detalhes da operação do Ransomware BlackByte

O grupo de ransomware conhecido como BlackByte teria iniciado suas operações em meados de julho de 2021. Em novembro de 2021, a empresa de segurança Trustwave publicou um descriptografador para uma variante do ransomware. No entanto, isso não impediu os atores de ameaça de realizar atualizações mais recentes no ransomware, que passaram a utilizar múltiplas chaves de criptografia.

Possivelmente, o início de suas operações ocorreu devido ao encerramento de outro grupo de ransomware, o Conti. Existem algumas evidências de que o BlackByte seria uma reformulação da marca, e especula-se que sua origem seja russa.

A ISH, por meio de sua equipe de inteligência de ameaças, o Heimdall, reuniu informações públicas e privadas sobre ataques já realizados pelo ransomware BlackByte, com o objetivo de identificar suas táticas, técnicas e procedimentos (TTPs), além de indicadores relacionados aos ataques. Essas informações serão abordadas em fases, correspondentes a cada etapa do ataque.

Acesso inicial

Para o acesso inicial, o grupo de ransomware BlackByte adotou algumas TTPs (Táticas, Técnicas e Procedimentos) que foram sendo atualizadas ao longo dos anos.

No caso do Acesso Inicial, o grupo poderia explorar um sistema por meio das vulnerabilidades do ProxyShell (CVE-2021-34473, CVE-2021-34523 e CVE-2021-31207), explorando o servidor, criando um web shell no sistema, que seria então utilizado para baixar o Cobalt Strike Beacon utilizando o comando certutil.

A exploração dessas vulnerabilidades também permitiu que os atores de ameaça obtivessem privilégios de SYSTEM no host Exchange comprometido, além de enumerar o LegacyDN dos usuários, facilitando a realização de algumas atividades de descoberta.

Outro recurso utilizado pelo grupo envolve o uso de credenciais válidas para acesso via VPN da organização. Essas credenciais podem ser obtidas por meio da compra em mercados ilegais ou por tentativas de força bruta em contas potencialmente vulneráveis (sem MFA habilitado e com senhas fracas).    

Descoberta, persistência e movimentação lateral

 Após o acesso inicial, o grupo utiliza outras técnicas, mais precisamente realiza uma varredura na infraestrutura da vítima utilizando ferramentas como o NetScan para obter uma visão do ambiente da organização.

Ferramentas para descoberta de rede

Também foi observada a utilização da ferramenta AdFind (scanner do Active Directory):

Ferramentas para descoberta de rede de AD

Após esta varredura, os atores podem utilizar o AnyDesk para obter um nível adicional de acesso e controle do sistema, bem como utilizar o Cobalt Strike Beacon para seus objetivos.

O AnyDesk foi executado a partir dos seguintes caminhos:

  • C:\systemtest\anydesk\AnyDesk.exe
  • C:\Program Files (x86)\AnyDesk\AnyDesk.exe
  • C:\Scripts\AnyDesk.exe

Alguns endereços de IP foram extraídos dos logs relacionados ao AnyDesk, e os atores utilizaram anonimizadores vinculados à rede TOR e MULLVAD VPN.

Foi identificado que o grupo também criou chaves de registro no sistema operacional para garantir a persistência, fazendo com que o payload fosse executado quando um usuário específico realizasse login:

Registros de chaves alteradas para Persistência

A dll chamada “api-msvc.dll” foi detectada pela Microsoft como um trojan do tipo backdoor, capaz de coletar informações do sistema, como softwares de defesa instalados, nome do dispositivo e endereço de IP. As informações do trojan eram enviadas via solicitações HTTP POST para um servidor de comando e controle (C2).

Trojan identificado com comunicação para C2

Outro arquivo, nomeado “api-msvc.png”, foi identificado com comportamento semelhante ao api-msvc.dll, operando também como uma DLL e utilizando as mesmas chaves de registro para persistência.

Os atores também utilizaram o Cobalt Strike Beacon por meio de um arquivo chamado sys.exe, que foi baixado diretamente de:

  • hxxps://temp[.]sh/szAyn/sys.exe

Esse arquivo foi configurado para se comunicar com o endereço de IP C2: 103[.]206.243.59:443.

Beacon utilizado pelos atores

Outro detalhe relevante é que os atores do BlackByte encerram processos e serviços relacionados a aplicativos de segurança para evitar a detecção de suas atividades. Foi observado que o agente da ameaça alterava as configurações da ferramenta de segurança por meio de modificações no registro do sistema, desinstalava manualmente EDRs em vários sistemas críticos e, em uma investigação, alterava a senha root dos hosts ESXi da organização.

Após obter privilégios de administrador, os atores foram identificados acessando o servidor VMware vCenter da organização e criando objetos de domínio do Active Directory para hipervisores VMware ESXi, integrando esses hosts ao domínio. A mesma conta foi utilizada para criar e adicionar outras contas a um grupo do AD chamado “ESX Admins”. Os usuários criados tinham o objetivo de explorar a vulnerabilidade CVE-2024-37085, que pode permitir desvio de autenticação no VMware ESXi. A exploração bem-sucedida concede aos atores controle sobre as máquinas virtuais (VMs), com a capacidade de modificar a configuração do servidor host, acessar logs do sistema, realizar diagnósticos e muito mais.

Para fins de movimentação lateral, o grupo também utilizou o NT LAN Manager (NTLM) para autenticação, executando o ataque pass-the-hash para a movimentação lateral.

Utilizando credenciais de administrador de domínio comprometidas, os atores utilizaram Remote Desktop Protocol (RDP) e PowerShell Remoting para obter acesso a outros servidores no ambiente, incluindo os controladores de domínio.

Acesso a credenciais

Evidências do provável uso do Mimikatz, uma ferramenta de roubo de credenciais comumente usada por agentes de ameaças, também foram descobertas por meio da presença de um arquivo de log relacionado: mimikatz.log

Exfiltração de dados

Os atores foram observados executando um arquivo chamado “atieclxx.exe” no diretório “C:\temp\sys” em um dos servidores de arquivos. A versão legítima de “atieclxx.exe” normalmente é encontrada no diretório “C:\Windows\System32”, onde suporta processos do sistema associados a placas gráficas AMD.

No entanto, durante a investigação de um ataque do BlackByte, “atieclxx.exe” foi executado a partir do diretório “C:\temp\sys” com o comando atieclxx.exe P@$$w0rd123!!!. Como os atores do BlackByte são conhecidos por preferir a string “P@$$w0rd” ao definir senhas de contas e como parâmetros de entrada para ferramentas personalizadas, essa sintaxe pode indicar esforços para disfarçar malware – como sua ferramenta personalizada de exfiltração de dados, ExByte – como um arquivo legítimo.

Conforme observado nas seções anteriores, há indícios do possível uso da ferramenta personalizada de exfiltração de dados do BlackByte, ExByte.

Outro arquivo também utilizado para exfiltração foi identificado como “explorer.exe”, sendo executado com a senha:

  • explorer.exe P@$$w0rd
ExByte utilizado para exfiltrar dados

Esses arquivos foram identificados como parte da ferramenta ExByte, que é baseada em GoLang e utilizada para a coleta e exfiltração de arquivos em redes. O binário é capaz de enumerar arquivos de interesse em toda a rede e, após a execução, cria um arquivo de log contendo uma lista de arquivos e metadados associados. Alguns logs foram identificados, indicando a utilização da ferramenta pelos atores:

  • C:\Exchange\MSExchLog.log
Análise de extensões de arquivos enumerados pelo ExByte

A análise forense da Microsoft identificou um arquivo chamado data.txt, que foi criado e posteriormente excluído após a execução do ExByte. Este arquivo continha credenciais ofuscadas que a ferramenta utilizou para se autenticar na popular plataforma de compartilhamento de arquivos Mega NZ, por meio de sua API em:

  • hxxps://g.api.mega.co[.]nz
Análise binária mostrando a funcionalidade explorer.exe para conexão ao serviço de compartilhamento de arquivos MEGA NZ

Ao ser executado, o ExByte decodifica várias strings e verifica se o processo está sendo executado com acesso privilegiado, lendo \.\PHYSICALDRIVE0:

– Se essa verificação falha, o ShellExecuteW é invocado com o parâmetro RunAs, que executa explorer.exe com privilégios elevados.

– Após essa verificação de acesso, explorer.exe tenta ler o arquivo data.txt no diretório atual:

  • Se o arquivo de texto não existir, ele invoca um comando para autodeleção e sai da memória:
    • C:\Windows\system32\cmd.exe /c ping 1.1.1.1 -n 10 > nul & Del <PATH>\explorer.exe /F /Q
  • Se data.txt existir, explorer.exe lê o arquivo, passa o buffer para a função de decodificação Base64 e, em seguida, descriptografa os dados usando a chave fornecida na linha de comando. Os dados descriptografados são então analisados como JSON da seguinte forma e usados para a função de login:
  • Finalmente, ele forma uma URL para login na API do serviço de compartilhamento de arquivos MEGA NZ:
    • hxxps://g.api.mega.co[.]nz/cs?id=1674017543

Outras técnicas também foram identificadas, como a utilização do WinRAR para a coleta de arquivos, com posterior envio para sites como anonymfiles[.]com e file[.]io pelos atores.

Execução do ransomware

Em casos recentes, o binário do ransomware BlackByte, “host.exe”, foi executado no diretório “C:\Windows” em todas as vítimas investigadas pela Talos IR. A sintaxe de comando usada pelo adversário durante cada ataque foi C:\Windows\host.exe -s [sequência numérica de 8 dígitos] svc, e o comportamento do binário do ransomware foi consistente com a análise anterior do binário BlackByteNT pela Microsoft, DuskRise, Acronis e outros.

  • O binário do ransomware não será executado sem a sequência numérica correta de oito dígitos passada para o parâmetro “-s”. Essa sequência de oito dígitos era a única parte da sintaxe que variava entre as vítimas. Em um ataque, o adversário usou dois criptografadores diferentes sequencialmente, cada um com seu próprio valor de parâmetro “-s”, embora o motivo para empregar vários criptografadores não tenha ficado claro.
  • O parâmetro “svc” faz com que o ransomware se instale como um serviço, o que parece converter o sistema infectado em um disseminador adicional, fazendo parte do comportamento de worm do ransomware. Autenticações SMB e NTLM subsequentes foram observadas em hosts acessíveis após a criação do serviço de ransomware, resultando em múltiplas ondas de criptografia horas após o evento inicial.
  • O binário do ransomware cria e opera principalmente no diretório “C:\SystemData”. Vários arquivos comuns foram criados neste diretório em todas as vítimas do BlackByte, incluindo um arquivo de texto chamado “MsExchangeLog1.log”, que parece ser um log de rastreamento de processo onde os marcos de execução são registrados como “q”, “w” e valores “b”, separados por vírgula.

Após a execução bem-sucedida, o binário do ransomware executa o comando /c ping 1.1.1[.]1 -n 10 > nul & fsutil file setZeroData offset=0 length=503808 c:\windows\host.exe & Del c:\windows\host.exe /F /Q, o que, após um atraso, zera o conteúdo do arquivo e o exclui. Essa estrutura geral de comando foi observada em várias ferramentas do BlackByte desde 2022.

A CISCO Talos observou algumas diferenças nos ataques recentes do BlackByte. Mais notavelmente, os arquivos criptografados de todas as vítimas foram reescritos com a extensão de arquivo “blackbytent_h”, que ainda não apareceu em relatórios públicos. Esta versão mais recente do criptografador também descarta quatro drivers vulneráveis como parte da técnica BYOVD (Bring Your Own Vulnerable Driver) do BlackByte, o que representa um aumento em relação aos dois ou três drivers descritos em relatórios anteriores. Os quatro drivers foram eliminados pelo criptografador em todos os ataques investigados pela Talos IR, cada um com uma convenção de nomenclatura semelhante — oito caracteres alfanuméricos aleatórios seguidos por um sublinhado e um valor numérico iterativo. Usando “AM35W2PH” como exemplo fictício, os drivers vulneráveis apareceriam na mesma ordem como:

  • “AM35W2PH” – RtCore64.sys, driver originalmente usado pelo MSI Afterburner, uma utilidade de overclock de sistema.
  • “AM35W2PH_1” – DBUtil_2_3.sys, driver que faz parte da ferramenta de atualização de firmware do Dell Client.
  • “AM35W2PH_2” – zamguard64.sys, driver que faz parte do aplicativo Zemana Anti-Malware (ZAM).
  • “AM35W2PH_3” – gdrv.sys, driver que faz parte do pacote de software GIGABYTE Tools para placas-mãe GIGABYTE.

A inclusão do arquivo “zamguard64.sys”, também conhecido como “Terminator”, é particularmente interessante devido à sua prevalência recente em relatórios de outros pesquisadores de segurança. Além disso, o binário do ransomware criou duas chaves de registro relacionadas a esse arquivo durante a execução e as excluiu posteriormente. Usando a string fictícia acima, essas chaves de registro seriam:

  • HKLM\SYSTEM\CONTROLSET001\SERVICES\AM35W2PH_2
  • HKLM\SYSTEM\CONTROLSET001\SERVICES\AM35W2PH_2\SECURITY

Durante a análise dinâmica de múltiplos binários do ransomware BlackByte, a Talos descobriu que o arquivo tentou a enumeração de compartilhamentos de rede via a função NetShareEnumAll do pipe nomeado ‘SRVSVC’, usando contas de usuário específicas associadas à vítima. Como essa análise foi conduzida em um ambiente controlado, essas contas só apareceriam no tráfego de rede se estivessem embutidas no binário do ransomware. Essa descoberta dá à Talos alta confiança de que a personalização por vítima do criptografador BlackByte inclui o empacotamento de alguma forma de credencial roubada no binário para suportar sua capacidade de worm.

A Microsoft IR encontrou vários dispositivos onde arquivos foram criptografados e identificou executáveis suspeitos com os seguintes nomes:

  • wEFT.exe
  • schillerized.exe

Esses arquivos foram analisados e determinados como binários do BlackByte 2.0, responsáveis pela criptografia em todo o ambiente. Esse binário requer uma chave numérica de 8 dígitos para criptografar os arquivos. Dois modos de execução foram identificados:

Dependendo do parâmetro (“-s” ou “-a”), a execução pode criar os seguintes arquivos:

  • C:\SystemData\M8yl89s7.exe (Nome aleatório – UPX Packed PsExec)
  • C:\SystemData\wEFT.exe (Binário adicional do BlackByte)
  • C:\SystemData\MsExchangeLog1.log (Arquivo de log)
  • C:\SystemData\rENEgOtiAtES
  • RtCore64.sys (Driver vulnerável, CVE-2019-16098, usado para evasão de detecção por software de AV/EDR)
  • C:\SystemData\iHu6c4.ico (Nome aleatório – ícone do BlackByte)
  • C:\SystemData\BB_Readme_file.txt (Arquivo ReadMe do BlackByte)
  • C:\SystemData\skip_bypass.txt (Desconhecido)
Payloads vinculados ao Ransomware BlackByte

Funcionalidades identificadas no Ransomware BlackByte 2.0

Bypass de AV/EDR:

  • O arquivo rENEgOtiAtES criado corresponde ao driver RtCore64.sys, um driver vulnerável (CVE-2019-16098) que permite que qualquer usuário autenticado leia/escreva em memória arbitrária.
  • O binário do BlackByte então cria e inicia um serviço chamado RABAsSaa, chamando rENEgOtiAtES e explorando esse serviço para evadir a detecção por software AV/EDR instalado.

Process Hollowing:

  • Invoca svchost.exe, injeta-se nele para completar a criptografia do dispositivo e autodeleta-se com o seguinte comando:
    • cmd.exe /c ping 1.1.1.1 -n 10 > Nul & Del “PATH_TO_BLACKBYTE” /F /Q

Modificação/Desativação do Windows Firewall:

  • Os seguintes comandos são executados para modificar as regras do Windows Firewall ou desativá-lo completamente:
    • cmd /c netsh advfirewall set allprofiles state off
    • cmd /c netsh advfirewall firewall set rule group=”File and Printer Sharing” new enable=Yes
    • cmd /c netsh advfirewall firewall set rule group=”Network Discovery” new enable=Yes

Modificação das Cópias de Sombra de Volume:

  • Os seguintes comandos são executados para destruir as cópias de sombra de volume na máquina:
    • cmd /c vssadmin Resize ShadowStorage /For=B:\ /On=B:\ /MaxSize=401MB
    • cmd /c vssadmin Resize ShadowStorage /For=B:\ /On=B:\ /MaxSize=UNBOUNDED

Modificação de Chaves/Valores do Registro:

  • Os seguintes comandos são executados para modificar o registro, facilitando a execução elevada no dispositivo:
    • cmd /c reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f
    • cmd /c reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLinkedConnections /t REG_DWORD /d 1 /f
    • cmd /c reg add HKLM\\SYSTEM\\CurrentControlSet\\Control\\FileSystem /v LongPathsEnabled /t REG_DWORD /d 1 /f

Funcionalidades adicionais

  • Capacidade de terminar serviços e processos em execução.
  • Capacidade de enumerar e montar volumes e compartilhamentos de rede para criptografia.
  • Executa a técnica antiforense de time-stomping (altera a data dos arquivos criptografados e do arquivo ReadMe para 2000-01-01 00:00:00).
  • Capacidade de executar técnicas de anti-debugging.

Principais comandos

Comandos úteis identificados em ataques do Ransomware Black Byte:

cmd.exe /c powershell -command “$x = [System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String(‘VwBpA’+’G4ARAB’+’lAGYA’+’ZQB’+’uAG’+’QA’));Stop-Service -Name $x;Set-Service -StartupType Disabled $x”
schtasks.exe /DELETE /TN “\”Raccine Rules Updater\”” /F
cmd.exe /c vssadmin resize shadowstorage /for=c: /on=c: /maxsize=401MB
cmd.exe /c vssadmin resize shadowstorage /for=c: /on=c: /maxsize=unbounded
cmd.exe /c vssadmin resize shadowstorage /for=d: /on=d: /maxsize=401MB
cmd.exe /c vssadmin resize shadowstorage /for=d: /on=d: /maxsize=unbounded
cmd.exe /c vssadmin resize shadowstorage /for=e: /on=e: /maxsize=401MB
cmd.exe /c vssadmin resize shadowstorage /for=e: /on=e: /maxsize=unbounded
cmd.exe /c vssadmin resize shadowstorage /for=f: /on=f: /maxsize=401MB
cmd.exe /c vssadmin resize shadowstorage /for=f: /on=f: /maxsize=unbounded
cmd.exe /c vssadmin resize shadowstorage /for=g: /on=g: /maxsize=401MB
cmd.exe /c vssadmin resize shadowstorage /for=g: /on=g: /maxsize=unbounded
cmd.exe /c vssadmin resize shadowstorage /for=h: /on=h: /maxsize=401MB
cmd.exe /c vssadmin resize shadowstorage /for=h: /on=h: /maxsize=unbounded
powershell.exe $x = [System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String(‘RwBlA HQALQBXAG0AaQBPAGIAagBlAGMAdAAg’+’AFcAaQBuADMAMgBfAFMAaABhAGQAb wB3AGMAbwBwAHkAIAB8AC’+’AARgBvAHIARQBhAGMAaAAtAE8AYgBqAGUAYwB0A CAAewAkA’+’F8ALgBEAGUAbABlAHQAZQAoACkAOwB9AA==’));Invoke-Expression $x
sc.exe config SQLTELEMETRY start= disabled
sc.exe config SQLTELEMETRY$ECWDB2 start= disabled
sc.exe config SQLWriter start= disabled
sc.exe config SstpSvc start= disabled
powershell.exe Set-MpPreference -EnableControlledFolderAccess Disabled
sc.exe config MBAMService start= disabled
sc.exe config wuauserv start= disabled
sc.exe config Dnscache start= auto
sc.exe config fdPHost start= auto
sc.exe config FDResPub start= auto
sc.exe config SSDPSRV start= auto
sc.exe config upnphost start= auto
sc.exe config RemoteRegistry start= auto
cmd.exe /c ping 1.1.1.1 -n 10 > Nul & Del “PATH_TO_BLACKBYTE” /F /Q
cmd /c netsh advfirewall set allprofiles state off
cmd /c netsh advfirewall firewall set rule group=”File and Printer Sharing” new enable=Yes
cmd /c netsh advfirewall firewall set rule group=”Network Discovery” new enable=Yes
cmd /c vssadmin Resize ShadowStorage /For=B:\ /On=B:\ /MaxSize=401MB
cmd /c vssadmin Resize ShadowStorage /For=B:\ /On=B:\ /MaxSize=UNBOUNDED
cmd /c reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f
cmd /c reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLinkedConnections /t REG_DWORD /d 1 /f
cmd /c reg add HKLM\\SYSTEM\\CurrentControlSet\\Control\\FileSystem /v LongPathsEnabled /t REG_DWORD /d 1 /f
mountvol.exe A: \\?\Volume{d7e47829-0000-0000-0000-100000000000}\
mountvol.exe B: \\?\Volume{d7e47829-0000-0000-0000-b0e213000000}\
mountvol.exe E: \\?\Volume{fce79ce0-b01f-11e6-b968-806e6f6e6963}\
powershell.exe Install-WindowsFeature -Name “RSAT-AD-PowerShell” –IncludeAllSubFeature
net.exe view
arp.exe -a
powershell.exe Import-Module ActiveDirectory;Get-ADComputer -Filter * -Properties * | FT Name
notepad.exe %appdata%\RestoreMyFiles_BlackByte.txt
cmd.exe /c ping 1.1.1.1 -n 10 > Nul & Del C:\Users\REM\Desktop\hybrid-9-8\complex.exe
Comandos utilizados pelo grupo

MITRE ATT&CK

TÁTICAID DA TÉCNICADESCRIÇÃO DE TÁTICA, TÉCNICA E SUBTÉCNICA
Acesso InicialT1078.002Acesso Inicial: Contas Válidas: Contas de Domínio
T1078.003Contas válidas: contas locais
DescobertaT1018Descoberta: descoberta remota do sistema
T1083Descoberta: descoberta de arquivos e diretórios
PersistênciaT1136.002Persistência: Criar conta: Conta de domínio
ExecuçãoT1204Execução: Execução do Usuário
T1569.002Execução: Serviços do Sistema: Execução de Serviços
Escalação de privilégiosT1543Escalonamento de privilégios: criar ou modificar processo do sistema
T1484.001Escalonamento de privilégios: modificação da política de domínio
T1484Escalonamento de privilégios: modificação de domínio
T1098Escalonamento de privilégios: manipulação de conta
Movimento lateralT1021.002Serviços remotos: compartilhamentos de administrador SMB/Windows
T1021.001Serviços Remotos: Protocolo de Área de Trabalho Remota
T1210Exploração de serviços remotos
Desenvolvimento de recursosT1608Desenvolvimento de Recursos: Capacidades de Estágio
Evasão de DefesaT1562.001Evasão de Defesa: Prejudicar Defesas: Desativar ou Modificar Ferramentas
T1112Evasão de Defesa: Modificar Registro
T1070.004Evasão de Defesa: Remoção de Indicador: Exclusão de Arquivo
T1211Evasão de Defesa: Exploração para Evasão de Defesa
ImpactoT1529Impacto: desligamento/reinicialização do sistema
T1486Impacto: dados criptografados para impacto
Tabela MITRE ATT&CK

Indicadores de Comprometimento (IOCs)

A ISH Tecnologia realiza o tratamento de diversos indicadores de compromissos coletados por meio de fontes abertas, fechadas e também de análises realizadas pela equipe de segurança Heimdall. Diante disto, abaixo listamos todos os Indicadores de Comprometimento (IOCs) relacionadas a análise do(s) artefato(s) deste artigo.

MD5
4d2da36174633565f3dd5ed6dc5033c4 959a7df5c465fcd963a641d87c18a565 cd7034692d8f29f9146deb3641de7986 5f40e1859053b70df9c0753d327f2cee d63a7756bfdcd2be6c755bf288a92c8b df7befc8cdc3c5434ef27cc669fb1e4b eed7357ab8d2fe31ea3dbcf3f9b7ec74 51f2cf541f004d3c1fa8b0f94c89914a 695e343b81a7b0208cbae33e11f7044c d9e94f076d175ace80f211ea298fa46e 296c51eb03e70808304b5f0e050f4f94 8320d9ec2eab7f5ff49186b2e630a15f 0c7b8da133799dd72d0dbe3ea012031e cea6be26d81a8ff3db0d9da666cd0f8f a77899602387665cddb6a0f021184a2b 31f818372fa07d1fd158c91510b6a077 1473c91e9c0588f92928bed0ebf5e0f4 d9e94f076d175ace80f211ea298fa46e 28b791746c97c0c04dcbfe0954e7173b a9cf6dce244ad9afd8ca92820b9c11b9 52b8ae74406e2f52fd81c8458647acd8 7139415fecd716bec6d38d2004176f5d 1785f4058c78ae3dd030808212ae3b04 c13bf39e2f8bf49c9754de7fb1396a33 b8e24e6436f6bed17757d011780e87b9 5c0a549ae45d9abe54ab662e53c484e2 8dfa48e56fc3a6a2272771e708cdb4d2 ad29212716d0b074d976ad7e33b8f35f 4ce0bdd2d4303bf77611b8b34c7d2883 d4aa276a7fbe8dcd858174eeacbb26ce c010d1326689b95a3d8106f75003427c 9344afc63753cd5e2ee0ff9aed43dc56 ae6fbc60ba9c0f3a0fef72aeffcd3dc7 e2eb5b57a8765856be897b4f6dadca18 405cb8b1e55bb2a50f2ef3e7c2b28496 58e8043876f2f302fbc98d00c270778b 11e35160fc4efabd0a3bd7a7c6afc91b d2a15e76a4bfa7eb007a07fc8738edfb 659b77f88288b4874b5abe41ed36380d e46bfbdf1031ea5a383040d0aa598d45 151c6f04aeff0e00c54929f25328f6f7
Indicadores de Comprometimento de Artefatos
Indicadores de Compromissos de Rede

Obs: Os links e endereços IP elencados acima podem estar ativos; cuidado ao realizar a manipulação dos referidos IoCs, evite realizar o clique e se tornar vítima do conteúdo malicioso hospedado no IoC.

Recomendações para manter seu negócio seguro

Além dos indicadores de comprometimento elencados pela ISH, poderão ser adotadas medidas visando a mitigação da infecção do referido malware, como por exemplo:

  • Implemente um plano de recuperação para manter e reter múltiplas cópias de dados sensíveis ou proprietários e servidores em um local fisicamente separado, segmentado e seguro (por exemplo, disco rígido, dispositivo de armazenamento, na nuvem).
  • Exija que todas as contas com login de senha (por exemplo, contas de serviço, contas de administrador e contas de administrador de domínio) cumpram os padrões do NIST. Em particular, exija que os funcionários usem senhas longas e considere não exigir alterações de senha recorrentes, pois isso pode enfraquecer a segurança.
  • Exija autenticação multifator para todos os serviços na medida do possível, principalmente para correio da web, redes privadas virtuais e contas que acessam sistemas críticos.
  • Mantenha todos os sistemas operacionais, software e firmware atualizados. A atualização oportuna é uma das medidas mais eficientes e econômicas que uma organização pode tomar para minimizar sua exposição a ameaças de segurança cibernética.
  • Segmente redes para evitar a propagação de ransomware. A segmentação de rede pode ajudar a evitar a propagação de ransomware controlando os fluxos de tráfego entre e o acesso a várias sub-redes e restringindo o movimento lateral do adversário.
  • Identifique, detecte e investigue atividades anormais e potenciais travessias do ransomware indicado com uma ferramenta de monitoramento de rede.
  • Filtre o tráfego de rede impedindo que origens desconhecidas ou não confiáveis acessem serviços remotos em sistemas internos.
  • Instale, atualize regularmente e ative a detecção em tempo real para software antivírus em todos os hosts.
  • Revise controladores de domínio, servidores, estações de trabalho e diretórios ativos para contas novas e/ou não reconhecidas.
  • Audite contas de usuário com privilégios administrativos e configure controles de acesso de acordo com o princípio do menor privilégio.
  • Desative portas não utilizadas.
  • Considere adicionar um banner de e-mail para e-mails recebidos de fora da sua organização.
  • Desative hiperlinks em e-mails recebidos.
  • Implemente acesso baseado em tempo para contas definidas no nível de administrador e superior.
  • Desative atividades e permissões de linha de comando e script.
  • Mantenha backups offline de dados e realize regularmente backup e restauração.
  • Assegure-se de que todos os dados de backup sejam criptografados, imutáveis e cubram toda a infraestrutura de dados da organização.

Não espere que um incidente cibernético comprometa seus negócios – entre em contato conosco hoje mesmo e descubra como podemos ajudar sua empresa a se preparar para o futuro com segurança e confiança.

Referências