Ransomware .infected: saiba detalhes sobre a operação da variante do Ransomware MedusaLocker

Por Heimdall e ISH DFIR: Uma variante de ransomware da família do MedusaLocker, conhecida como “.infected”, identificada em meados de setembro de 2019, continua em operação e afetando diversas organizações em todo o mundo.

Esse ransomware atua realizando a criptografia dos dados e exige posteriormente que a organização realize o pagamento em troca de uma chave/ferramenta para descriptografar os arquivos. Normalmente, a nota de resgate contém instruções para que a vítima entre em contato com os invasores.

O Ransomware evoluiu para Ransomware-as-a-Service (RaaS) e, em 2022, o grupo teria introduzido o DLS (Site de Data Leak) das vítimas comprometidas.

Leia mais para saber detalhes sobre as TTPs (Táticas, Técnicas e Procedimentos) utilizados pelo operador do Ransomware, coletadas com base nas atividades do nosso time de Resposta a Incidentes (DFIR).

Sobre o MedusaLocker

O MedusaLocker possuiu 2 fases durante todo o seu funcionamento, uma antes do TOR v3 e outras após o TOR v3. Além disso, esta variante não adiciona uma extensão como “.medusa” ao seu arquivo criptografado, visto que adicionam vários outros nomes nas extensões, como “.skynet, .marlock, .farlock”, entre outros.

Após a criptografia, o grupo encaminha a vítima para realizar o login e iniciar a negociação para as vítimas através do portal.

Portal de negociação do Ransomware MedusaLocker

E, caso a vítima não realize o pagamento ou a negociação, o grupo publica os dados da vítima em outro site, conhecido como DLS (data leak site). Realizamos os acessos a ambos os links fornecidos pelo grupo e, no momento do acesso, não estavam em operação.

Análise do ataque e do Ransomware .infected

Foi observado que o ator de ameaça,realizou a conexão através de RDP (Remote Desktop Protocol) com endereço de IP externo situado na Rússia.

Após acesso via RDP, o ator de ameaça iniciou a execução de comandos utilizados e identificados em diversos ataques cibernéticos, como: SMBEnum, SMBClient, WMIExec e SMBExec por meio do PowerShell.

Comandos utilizados via RDP através do PowerShell

Além disso, os comandos observados fazem parte da ferramenta disponível no Github conhecida como “Invoke-TheHash”, a qual contém funções do PowerShell para executar tarefas do WMI e SMB de hash. Vale salientar que a execução do referido script não é necessária obter privilégios de administrador.

Após obter acesso, foram observadas diversas tentativas de brute force a demais dispositivos na rede, uma vez que diversos endereços de IPs externos foram utilizados para fins de tentativas de logon em rede.

Foi identificado ainda que em um dos usuários utilizados para login, havia diversos arquivos em pastas do diretório do usuário, dentre eles artefatos denominados como “3.exe” e “In.exe”. Além das duas ferramentas, outras ferramentas como “Advanced_Port_Scanner.2.5.3839.exe” e “mimik.exe” foram identificados e executados pelo usuário suspeito.

Na sequência, foi identificado a criação de um novo usuário, levando-se em conta que após o acesso RDP inicial, levou-se seis minutos para a criação de uma nova conta.

Um dos fatos curiosos, é que o novo usuário acabou por adicionar um dos arquivos já identificados anteriormente (In.exe) diretamente a chave de registro “Run”, localizada em Microsoft\Windows\CurrentVersion\Run, indicando que o arquivo iria ser executado assim que o sistema fosse inicializado.  A alteração da chave ocorreu após 3 horas da criação do usuário.

Outra configuração utilizada para persistência no referido sistema, é que o usuário criado foi configurado para que sua senha nunca se expira, utilizando desta forma um acesso sempre que possível retornar.

Posteriormente, o dispositivo foi reiniciado e identificado a presente e ataque utilizando-se de um payload de ransomware, exibindo ao usuário a Nota de Resgate.

Nota de Resgate apresentada ao usuário

Diante disto, a equipe realizou a análise do artefato visando descrever o seu funcionamento tecnicamente, bem como fornecer IOC e IOA relacionados ao ataque.

análise do referido arquivo, foi possível verificar que este teria sido compilado 5 dias antes do acesso inicial com RDP, utilizando o Microsoft Visual C/C++, com o tamanho de 425472 bytes. Outro fato curioso é que o arquivo .pdb, possui um caminho específico utilizando: D:\Education\locker\bin\stub_win_x64_encrypter.pdb.

O arquivo .pdb corresponde a associação ao código compilado em linguagens como C/C++, praticamente o arquivo contém informações de deputação que é utilizado por desenvolvedores e por depuradores para mapear o código de máquina no código-fonte original.

Arquivo .pdb associado ao código do ransomware

Na própria análise estática do código, foram observados comandos utilizados pelo payload para encerrar determinados processos, bem como consultar ou utilizar ferramentas de rede nativas do Sistema Operacional.

Uma vez executado, o processo gera uma janela de linha de comando detalhando diversas ações realizadas pelo processo e, quando inicializado, o processo define diversas configurações como a Chave Pública utilizada, texto da nota e extensão dos arquivos pós criptografia.

Configuração de inicialização do Ransomware
Extensão “.infected” e Chave Pública utilizada pelo Ransomware

O processo do ransomware executa comandos para garantir o máximo de impacto possível, incluindo neste caso encerrar serviços de banco de dados, exclusão de arquivos para recuperação e encerrar serviços de backups.

Comandos utilizados para prejudicar o sistema operacional
Processos criados pelo Ransomware através do CMD

O ransomware realiza ainda a exclusão de alguns tipos de arquivos e pastas específicos no sistema operacional, como:

Extensões e pastas ignoradas pela criptografia do Ransomware

Na sequência, o ransomware inicia a verificação e criptografia dos arquivos do host. Vale salientar que o ransomware utiliza a combinação dos algoritmos AES e RSA-2048 para criptografar.

Processo de criptografia dos dados

A análise confirmou que o referido processo cria uma chave de execução de registro chamada “BabyLockerKZ” para o usuário atual visando o local do arquivo malicioso para garantir algum tipo de persistência no host.

Registro na chave \Run do Windows

Após a criptografia, o Ransomware anexa a extensão “.infected” aos arquivos criptografados e despeja a Nota de Resgate chamada “HOW_TO_BACK_FILES.html”.

Portanto, adicionamos na seção específica, as Táticas, Técnicas e Procedimentos utilizados pelo grupo/afiliado neste ataque identificado, facilitando desta forma, a identificação e atuação em detecção futura:

TáticaTécnicaDetalhes
Execution  

TA0002
Command and Scripting Interpreter: PowerShell T1059.001O afiliado utilizou o PowerShell para executar uma série de comandos para enumeração.
Command and Scripting Interpreter: PowerShell T1059.003A amostra do ransomware utiliza cmd para lançar ataques e interromper serviços.
API Native T1106O afiliado e o payload utilizaram API nativas para interagair com a programação de aplicativos.
Persistence  

TA0003
Boot or Logon Autostart Execution T1547O adversário pode utilizar o ransomware para executar automaticamente o programa durante a inciailziação ou logon do sistema visando a persistência.
Create Account T1136O adversário realizou a criação de contas válidas no ambiente de rede.
Privilege Escalation  

TA0004
Boot or Logon Autostart Execution T1547O adversário pode utilizar o ransomware para executar automaticamente o programa durante a inciailziação ou logon do sistema visando a persistência e privilégio.
Abuse Elevation Control Mechanism: Bypass User Account Control T1548.002O ator de ameaça ingora os mecanismos do UAC para elevar privilégios.
Defense Evasion  

TA0005
Modify Registry T1112O adversário realizou a modificação de chaves de registros para execução do ransomware.
Credencial Access  

TA0006
Brute Force T1110O adversário foi identificado como realizando ataques brute force a contas no ambiente da vítima.
OS Credential Dumping T1003Identificado que o ator de ameaça utilizou ferramentas para realizar o dump de credenciais.
Lateral Movement

TA0008
Remove Services: SMB/Windows Admin Shares T1021.002O adversário utilizou contas válidas para interagir com o compartilhamento de rede usando Server Message Block (SMB).
Remove Services: Remote Desktop Protocol   T1021.001O adversário utilizou o serviço RDP para conexão inicial e iniciar o ataque.
Discovery  

TA0007
File and Directory Discovery T1083O payload utiliza enumeração de arquivos e diretórios para ocasionar o máximo de arquivos encriptados.
Impact  

TA0040
Data Encrypted for Impact T1486O ransomware realiza a criptografia dos dados utilizando AES e RSA-2048
Service Stop T1489O ransomware realiza a paralização de serviços em execução no sistema.
Inhibit System Recovery T1490O ransomware executa comandos visando inibir a recuperação do sistema operacional, excluindo backups e VSS.
Tabela TTPs – MITRE ATT&CK

Diamond Model

De acordo com a análise realizada, foi possível mapear, por meio do Modelo Diamante (Diamond Model), a operação realizada pelo afiliado do Ransomware MedusaLocker da variante “.infected”.

Diamond Model do Ransomware MedusaLocker com base no ataque

Indicadores de Comprometimento (IOCs)

A ISH Tecnologia realiza o tratamento de diversos indicadores de compromissos coletados por meio de fontes abertas, fechadas e também de análises realizadas pela equipe de segurança Heimdall.

Diante disto, abaixo listamos todos os Indicadores de Comprometimento (IOCs) relacionadas a análise do(s) artefato(s) deste relatório:

Indicadores de Comprometimento de artefatos
Indicadores de Comprometimento de artefatos
Indicadores de Comprometimento de artefatos
Indicadores de Comprometimento de artefatos
Indicadores de Comprometimento de artefatos
Indicadores de Comprometimento de artefatos

Indicadores de URLs, IPs e domínios

Indicadores de Compromissos de Rede

Obs: Os links e endereços IP elencados acima podem estar ativos; cuidado ao realizar a manipulação dos referidos IoCs, evite realizar o clique e se tornar vítima do conteúdo malicioso hospedado no IoC.

Referências