Consulta técnica sobre FortiEDR
Descripción
BlackCat (también conocido como ALPHV, AlphaVM) es un RaaS (ransomware como servicio) recientemente establecido con cargas útiles escritas en Rust. Debido al uso de Rust, BlackCat ransomware es multiplataforma y logra una velocidad de cifrado más rápida que otros Ransomware. Un actor que trabaja con ALPHV ha dado información en una entrevista en línea [1]a principios de este año, el equipo consta de afiliados anteriores de BlackMatter/Darkside, gandrevil (GandCrab/REvil) y mazegreggor (Maze/Egregor). El ransomware Blackcat también tiene un sitio tor que avergüenza a las víctimas http[:]//alphvmmm27o3abo3r2mlmjrpdmzle3rykajqc5xsj7j7ejksbpsa36ad[.]onion. El sitio tiene más de 60 víctimas publicadas ahora. Actualmente, las víctimas se distribuyen principalmente a través de Europa y los EE. UU. Lo que es único de BlackCat es que, además de los aspectos de extorsión y ransomware de sus ataques, las víctimas que no pagan el rescate requerido también reciben amenazas de DDoS hasta que se paga el rescate.
Figura 1 . Sitio para avergonzar a las víctimas de BlackCat.
FortiEDR brinda cobertura de detección y mitigación para todas las variantes de BlackCat actualmente conocidas y detecciones de comportamiento para proteger los puntos finales de futuras iteraciones de esta variante de malware. Este artículo analizará la cobertura de detección y mitigación de FortiEDR para esta variante de malware y su comportamiento posterior a la ejecución.
Opciones de configuración de BlackCat
Las muestras de BlackCat requieren un ‘token de acceso’ como parámetro para la ejecución. Este access_token sirve como contraseña para la ejecución de una muestra en particular, probablemente como un mecanismo para obstaculizar el análisis y revertir los esfuerzos de la industria de la ciberseguridad. Se menciona access_token en la entrevista a la que se hace referencia anteriormente, donde el actor mencionó que, como afiliados de DarkSide, uno había sufrido la intercepción de las víctimas para su posterior descifrado por parte de Emsisoft. A pesar de estas protecciones, algunas de las muestras anteriores se pueden ejecutar con una cadena arbitraria como token de acceso que permite el análisis de comportamiento.
La muestra analizada tiene una ayuda integrada que se puede ver mediante el parámetro -h o –help. De manera predeterminada, al ejecutarse, el ransomware recopila direcciones IP de la tabla ARP en el punto final de destino y luego intenta conectarse al servicio NetBIOS en el puerto 137 a estas direcciones IP, lo más probable es que la propagación se propague lateralmente en la red local de la víctima.
Figura 2 . Opciones de línea de comandos del ransomware BlackCat.
También hay una opción ‘–ui’ que proporciona información sobre la ejecución actual, que incluye: subprocesos de trabajo de cifrado existentes, cola de archivos que se procesan, progreso general del cifrado del sistema de archivos a través de una barra de progreso y la velocidad a la que se procesan los archivos. La Figura 3 a continuación muestra un ejemplo de esta interfaz de usuario tal como se utiliza para cifrar un sistema de prueba.
Figura 3 . Interfaz de usuario del ransomware BlackCat.
Ejecución inicial
A medida que se ejecuta el ransomware, genera varios subprocesos, uno para descubrir todos los archivos y otro para cifrar los archivos enumerados. El estado de estos subprocesos se puede observar a través de la interfaz de usuario, como se muestra en la Figura 3 anterior.
Los intentos de ejecutar la muestra desencadenaron el evento «Archivo malintencionado detectado» en la política de ejecución. Esta regla se activa cuando Fortinet Cloud Services (FCS) identifica un archivo como malicioso según el aprendizaje automático, el sandboxing en línea (incluida la integración con FortiSandbox) y la integración con la inteligencia de amenazas de FortiGuard. Un ejemplo de este evento se muestra a continuación en la Figura 4.
Figura 4 . Evento de detección de archivos maliciosos relacionado con la detección de la muestra BlackCat analizada.
Acceso al servicio
FortiEDR desencadenó un evento de acceso al servicio cuando la muestra de ransomware BlackCat intentó acceder a la utilidad de línea de comandos de la interfaz de administración de Windows (WMIC) para obtener el UUID del sistema víctima. El UUID del sistema se usa para crear un access_token para acceder al sitio de la cebolla. La URL en la nota de rescate se genera usando access_token.
Figura 5 . La regla de acceso al servicio WMI se activa cuando el malware usa WMIC para acceder a la información del punto final.
Acceso al servicio de archivos
FortiEDR desencadenó un evento de acceso al servicio de archivos cuando la muestra de ransomware BlackCat intentó eliminar las instantáneas mediante la utilidad administrativa del Servicio de instantáneas de volumen (VSS). El evento relacionado se muestra a continuación en la Figura 6; tenga en cuenta la muestra -> cmd.exe. -> vssadmin.exe -> Cadena de procesos VSSVC.exe . Esta es una funcionalidad muy común realizada por numerosas variantes de ransomware, ya que evita que los usuarios finales restauren los datos de las instantáneas de volumen después del cifrado.
Figura 6 . La regla Acceso al servicio de archivos se activa cuando la muestra de BlackCat intenta acceder al servicio de instantáneas.
Con la función Threat Hunting en FortiEDR, los usuarios pueden buscar eventos que muestren el intento del ransomware de eliminar la instantánea a través de wmic mediante la consulta a continuación.
Escriba: ("Creación de proceso") Y Target.Process.Name: ("cmd.exe") Y Target.Process.CommandLine: ("/c "wmic.exe Shadowcopy Delete"""")
Figura 7 . Eventos de creación de procesos relacionados con intentos de eliminar instantáneas de volumen mediante WMIC.
Evento de creación de archivos
La mayoría de las muestras de BlackCat ransomware se ven usando una cadena alfanumérica aleatoria con una longitud de siete como una extensión de un archivo cifrado
¡Déjanos cualquier duda sobre FortiEDR aquí abajo!
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!