Adaptación del articulo “An Investigation of the BlackCat Ransomware via Trend Micro Vision One» https://www.trendmicro.com/en_us/research/22/d/an-investigation-of-the-blackcat-ransomware.html

Recientemente Trend Micro ha investigado un caso relacionado con el grupo de ransomware BlackCat utilizando la plataforma Trend Micro Vision One™, que viene con capacidades de detección y respuesta ampliadas (XDR). BlackCat (también conocido como AlphaVM o AlphaV) es una familia de ransomware creada en el lenguaje de programación Rust y operada bajo un modelo de ransomware como servicio (RaaS). Sus datos indican que BlackCat se distribuye principalmente a través de marcos y conjuntos de herramientas de terceros (por ejemplo, Cobalt Strike) y utiliza la explotación de aplicaciones expuestas y vulnerables (por ejemplo, Microsoft Exchange Server) como punto de entrada.

BlackCat tiene versiones que funcionan tanto en sistemas operativos Windows como Linux y en el entorno ESXi de VMware. En este incidente, identificaron la explotación de CVE-2021-31207. Esta vulnerabilidad abusa del comando PowerShell New-MailboxExportRequest para exportar el buzón del usuario a una ubicación de archivo arbitraria, que podría utilizarse para escribir un shell web en el servidor Exchange.

Ejecución de BlackCat

Antes de la ejecución del Ransomware BlackCat, identificaron scripts por lotes sospechosos que utilizaban los actores malintencionados para preparar el entorno para el cifrado.

Se creó un archivo llamado spread.bat y se utilizó el siguiente comando de PowerShell para ejecutar el archivo spread.bat. Cabe señalar que no se pudo recoger el archivo .bat para verificar su contenido.

powershell -nop -exec bypass -EncodedCommand LgBcAHMAcAByAGUAYQBkAC4AYgBhAHQAIABtAGsAcwBoAGEAcgBlACAAUgBFAEEARAA=

La plataforma Vision One decodificó el comando, lo que resultó en el código que se muestra en la siguiente imagen.

Figura 20. El código generado después de decodificar el comando utilizado para ejecutar spread.bat

Se ejecutó otro archivo por lotes, 123.bat. Al igual que con el archivo por lotes anterior, no se logro recopilar para analizar su contenido.

Para ejecutar la muestra, se requiere un token para evitar el análisis de sandbox automatizado. Sin embargo, cualquier token provisto puede eludir la restricción y habilitar la ejecución de malware. El ransomware también admite otros comandos, que se pueden obtener a través de los parámetros -h o –help.

Los actores malintencionados usaron SysVol Share para alojar la muestra de BlackCat que se ejecutó en todo el entorno. Se utilizó este enfoque porque el contenido de SysVol Share se replica en todos los controladores de dominio de Windows Server, lo que significa que todas las máquinas podrán acceder a él. También se colocó una copia de la muestra localmente en la carpeta C:\Windows\debug.

Figura 22. El binario BlackCat que se soltó en SysVol Share
Los permisos de archivo se cambiaron usando icacls.exe, una utilidad de línea de comandos que se puede usar para modificar los permisos de NTFS, así como los comandos de net share.

Tras preparar el entorno, los actores maliciosos proceden a ejecutar el ransomware. Tras la ejecución, BlackCat realiza las siguientes tareas:

  • Consultar el UUID del sistema utilizando wmic.
    • El identificador único universal (UUID) se utiliza posteriormente, junto con el token, para identificar a la víctima en un sitio web Tor alojado por los actores maliciosos.
  • Eliminar las instantáneas de volumen.
  • Utilizar BCDedit para desactivar el modo de recuperación.
  • Aumentar el número de peticiones de red que puede realizar el servicio del servidor.
    • Esto permite que el malware acceda a suficientes archivos durante el proceso de cifrado.
  • Detener el servicio IIS utilizando el iisreset.exe, una conocida herramienta utilizada para manejar los servicios IIS.
  • Ejecutar el comando arp para mostrar las entradas ARP (Address Resolution Protocol) actuales.
  • Ejecutar Fsutil para permitir el uso de enlaces simbólicos tanto remotos como locales.
  • Borrar todos los registros de eventos mediante wevutil.exe.

Una vez finalizadas estas tareas, los archivos de destino se cifran y se agrega una extensión de 7 dígitos aleatorios a los archivos. Luego, se elimina la nota de rescate (detectada como Ransom.Win32.BLACKCAT.B.note). Informa a la víctima que sus datos han sido robados y les indica que accedan a un dominio de Onion Tor.

Figura 25. La nota de rescate de BlackCat

Las muestras de BlackCat, que Trend Micro Predictive Machine Learning detecta inmediatamente, se detectan como Ransom.Win32.BLACKCAT.YXCCY.

Conclusión y Recomendaciones de Seguridad

Esta investigación brindó la oportunidad de aprender más sobre la cadena de infección de BlackCat. Pone de manifiesto la continua evolución de las amenazas que están diseñadas para evadir la detección. Las capacidades y características notables que se observaron incluyen tácticas evasivas, como enmascarar una DLL manipulada para que parezca legítima.

Las organizaciones deberían tomar nota de la tendencia continuada entre los actores maliciosos de utilizar Cobalt Strike en los ataques, binarios «living-off-the-land» (LOLBins) y herramientas de equipo rojo o de pruebas de penetración para camuflarse en el entorno.

Para las organizaciones, un buen protocolo de gestión de parches puede ayudar a prevenir la explotación de servidores vulnerables orientados a Internet. La contención y mitigación tempranas también son esenciales para cortar los ataques más dañinos que comprometen los entornos y despliegan el ransomware. En este caso, una estrecha vigilancia del sistema y una pronta detección podrían haber evitado que se produjera todo lo descrito en el articulo.

A la hora de analizar y correlacionar los ataques de ransomware, el uso de soluciones de detección y respuesta multicapa como Trend Micro Vision One puede proporcionar potentes funciones XDR que recopilan y correlacionan automáticamente los datos a través de múltiples capas de seguridad (correo electrónico, puntos finales, servidores, cargas de trabajo en la nube y redes) para prevenir los ataques mediante una protección automatizada, al tiempo que se garantiza que ningún incidente importante pase desapercibido.