Por Caique Barqueta: Os ataques de ransomware permanecem em constante crescimento. Esse aumento é derivado de um novo modelo de venda, o conhecido “Ransomware como Serviço” (Ransomware-as-a-Service – RaaS). Tal modelo é baseado em assinatura e permite que os afiliados – os compradores – utilizem as ferramentas de ransomware já desenvolvidas para executar ataques. Neste aspecto, os afiliados ganham uma porcentagem de cada pagamento de resgate bem-sucedido que o afiliado realizar.

O Ransomware-as-a-Service é uma adoção do modelo de negócios Software-as-a-Service (SaaS) e, com isso, os agentes criminosos não precisam ser qualificados o suficiente para codificar um código de Ransomware, basta apenas realizar a compra por demanda e ainda receber uma determinada porcentagem do resgate.

Em conjunto, a Trend Micro em seu relatório sobre Ameaças, foi mencionado que o Ransomware como serviço, demonstrou que houve o aumento de 63,2% e novos grupos de extorsão em 2022.

Antes que nos aprofundemos sobre alguns novos operadores no decorrer do relatório, ilustramos abaixo a quantidade de Indicadores de Comprometimento (IoCs) que a equipe de inteligência da ISH coleta diariamente por meio do GTI (Global Threat Intelligence).

Indicadores de Comprometimento (IoCs)

Abaixo, ilustramos a quantidade de Indicadores de Comprometimentos (IoCs) tratados diariamente pelo GTI, trazendo diversos tipos de indicadores, como md5, sha1, sha256, endereços IP maliciosos entre outros.  

Ransomware

Foram detectados 83,288 Indicadores de Comprometimentos (IoCs) de famílias de Ransomware diversos, conforme a imagem abaixo:

Além dos diversos Indicadores já elencados, a equipe ISH Heimdall direcionou esforços para enriquecimento da base de dados de ameaças, sendo que, nos últimos 30 dias, houve o acréscimo de 436.461.027 de Indicadores de Comprometimento (IoCs).

Endereços de IP

Outro principal rastro que os agentes de ameaças deixam e que auxiliam sua identificação é o endereço de IP, que é considerado uma informação muito valiosa para rastrear e estudar os agentes de ameaças, visando se proteger do domínio e endereço de IP considerado malicioso.

A ISH coleta e analisa diariamente a atividade maliciosa desses principais ofensores de acordo com o print abaixo, onde do dia 29/10 a 29/11 coletamos e analisamos 18.017.176 endereços de IP maliciosos que foram prontamente compartilhados com os clientes via MISP.  

Como funciona o modelo de RaaS?

Lembrando que, para que o RaaS funcione, o operador precisa de um ransomware codificado e desenvolvido por agentes confiáveis para obrigar os afiliados a se inscreverem e distribuírem seu malware.

Os desenvolvedores de RaaS criam códigos maliciosos com alta chance de sucesso de invasão e baixo nível de detecção por soluções.

Após o desenvolvimento, o ransomware é modificado para uma infraestrutura de vários usuários finais, e assim está pronto para ser licenciado para vários afiliados. Estes afiliados possuem documentação disponível para integração e um guia de passo a passo para iniciar os ataques de ransomware.

Salientamos que alguns distribuidores de RaaS até os fornecem uma solução de painel para ajudá-los a monitorar o status de cada tentativa de infecção por ransomware, como é o caso dos operadores do Ransomware Eternity.

Além disto, para melhor entendimento, trouxemos a diferença de Operadores de Ransomware para os Afiliados, definindo suas competências:

Operadores RaaS	Afiliados RaaS
Recrutamento de afiliados em fóruns.	Pagamento para usar o Ransomware. Concorda com uma taxa de serviço por resgate coletado.
Dá aos afiliados acessos a um painel “crie seu próprio payload de ransomware”   Cria um painel dedicado de “Comando e Controle” para o afiliado rastrear o payload.	Identifica vítimas alvo.   Define exigências de resgate.   Configura mensagens de usuários pós-compromisso.
	Compromete os bens da vítima.   Maximiza a infecção usando as técnicas de “living of the land”.   Execução do Ransomware.
Configura um portal de pagamento de vítimas.   “Ajuda” os afiliados nas negociações com as vítimas.	Comunica-se com a vítima por meio de portais de bate-papo ou outros canais de comunicação.
Gerencia um site de vazamento dedicado.	Gerencia as chaves de descriptografia.

Existem quatro modelos de receita RaaS comuns:

1. Assinatura mensal por uma taxa fixa;
2. Programas de afiliados, que são iguais a um modelo de taxa mensal, mas com uma porcentagem dos lucros (normalmente 20 a 30%) indo para o desenvolvedor do ransomware;
3. Taxa única de licença sem participações nos lucros;
4. Participação nos lucros.

Exemplos de RaaS

Abaixo, listamos os principais operadores de RaaS:

DarkSide: operação RaaS associada a um grupo eCrime. Eles são focados em máquinas Windows e houve a expansão para o sistema operacional Linux, visando ambientes corporativos executando hipervisores VMware ESXi sem patch ou roubando credenciais do vCenter.

REvil: também conhecido como Sodinokibi, foi identificado como o ransomware por trás de um dos maiores pedidos de resgates já registrados, aproximadamente US$10 milhões. O RaaS é vendido sob o modelo de afiliado e normalmente fica com 40% dos lucros. Aqui, o REvil avisa as vítimas sobre o vazamento de dados por meio de postagem aos blogs de DLS, contendo dados de amostras como prova.

LockBit: Em operação desde meados de setembro de 2019, o LockBit está disponível como um RaaS anunciado também em seu site de Data Leak, conforme imagem abaixo que apresenta mensagem aos afiliados.

Além dos mencionados, a equipe Heimdall identificou novos grupos de operadores de ransomware em atuação, como o AXLocker, Octocrypt e Alice, dos quais realizamos a análise de artefatos relevantes visando entender o comportamento destes.

Ransomware AXLocker

Os operadores de ransomware criaram mais uma ferramenta, chamada AXLocker, que pode criptografar vários tipos de arquivos e torná-los completamente inutilizáveis. Além disso, o ransomware rouba tokens do Discord da máquina da vítima e os envia para o servidor e, posteriormente, uma nota de resgate é exibida no sistema da vítima para obter a ferramenta de descriptografia usada para recuperar os arquivos criptografados.

Em análise técnica, foi realizada a análise da amostra de hash 256: c8e3c547e22ae37f9eeb37a1efd28de2bae0bfae67ce3798da9592f8579d433c, a qual, em análise prévia, trata-se de um executável compilado em .NET baseado em GUI de 32 bits.

Em análise estática, foram obtidas informações de que possui a utilização das funções de EncryptFile, AES Decrypt e AES Encrypt, utilizadas para criptografia dos dados.

Outra informação localizada é que o Ransomware realiza o acesso a algumas pastas visando realizar a exfiltração de dados dos diretórios listados abaixo:

• \Discord
• \discordcanary
• \discordptb
• \\Opera Software\Opera Stable
• \Google\Chrome\User Data\Default
• \BraveSoftware\Brave-Browser\User Data\Default
• \Yandex\YandexBrowser\User Data\Default
• \Local Storage\leveldb

Além disso, a função utilizada pelo ransomware startencryption() contém o código para pesquisar arquivos enumerando os diretórios disponíveis na unidade C:\. Ele procura extensões de arquivo específicas para criptografar e exclui uma lista de diretórios do processo de criptografia. Exemplos de extensões que o ransomware busca criptografar:

.rar	.zip	.m3u	.m4a	.mp3
.wma	.ogg	.wav	.sqlite	.sqlite3
.img	.nrg	.doc	.docx	.docm
.odt	.rtf	.wpd	.wps	.csv
.key	.pdf	.pps	.ppt	.pptm
.pptx	.psd	.vcf	.xlr	.xls
.xlsx	.xlsm	.ods	.odp	.indd
.dwg	.dxf	.kml	.kmz	.gpx
.cad	.wmf	.txt	.3fr	.ari
.arw	.bay	.bmp	.cr2	.crw
.cxi	.dcr	.dng	.eip	.erf
.fff	.gif	.iiq	.j6i	.k25
.kdc	.mef	.mfw	.mos	.mrw
.nef	.nrw	;orf	.pef	.png
.raf	.raw	.rw2	.rwl	.rwz
.sf2	.srf	.srw	.x3f	.jpg
.jpeg	.tga	.tiff	.tif	.3g2
.3gp	.asf	.avi	.flv	.m4v
.mkv	.mov	.mp4	.mpg	.swf
.vob	.wmv

Após a execução, a carga maliciosa se torna oculta na pasta que originou a execução, apresentando durante a análise uma forma de se ofuscar junto ao sistema operacional.

Após a criptografia o referido Ransomware apresenta a mensagem “task” do aviso de que os arquivos foram criptografados, conforme imagem abaixo:

Quanto à criptografia, o referido ransomware não realiza a alteração do nome ou extensão do arquivo, permanecendo apenas a criptografia do conteúdo de arquivo, conforme abaixo:

Por fim, podemos concluir que o referido ransomware utiliza as funções ProcessFile, que em seguida executa a função EncryptFile, identificada anteriormente, e, em seguida, inicia a criptografia dos arquivos com a criptografia AES.

Após esta criptografia, o ransomware coleta e envia informações do nome do host, nome de usuário, endereço de IP da máquina, UUID do sistema e tokens de Discord para o C2 identificado pela URL: https://discord.com/api/webhooks/1039930467614478378/N2J80EuPMXSWuIBpizgDJ-75CB6gzTyFE72NQ0DJimbA7xr

Ransomware Octocrypt

Foi identificado um novo operador de ransomware que possui como alvo todas as versões do sistema operacional Windows. O seu desenvolvedor compilou a ameaça por meio da linguagem Golang. Além disso, opera por meio de Ransomware-as-a-service (SaaS) e surgiu em fóruns com postagens voltado a cibercriminosos por volta de outubro de 2022.

O anúncio identificado afirmava que o Ransomware possui as funcionalidades:

• Construtor, Encryptador e Decrypter escrito em Golang;
• Criptografia de todas as versões do Windows;
• Criptografia de documentos, fotos, banco de dados, drives e etc;
• Criptografia utilizando AES-256-CTR;
• Troca segura com ECDSA;
• Interface Web simples para construção de criptografador e descriptografador;
• Ofuscação de compilação dinâmica;
• Configuração fácil da interface Web via Docker;
• Alteração do plano de fundo da área de trabalho após a infecção.

O ransomware foi anunciado pelo valor de US$ 400,00, possuindo ainda outros canais para suporte, como o Telegram. Outro fato relevante é que foi realizada a publicação de diversos prints pelo usuário que realizou a venda, conforme abaixo:

Diante disso, em análise do artefato malicioso sha256: 9a557b61005dded36d92a2f4dafdfe9da66506ed8e2af1c851db57d8914c4344, podemos verificar que ele se encontra empacotado. Foi realizada a identificação de algumas strings relevantes antes que seja executado, como dados referentes à nota de resgate criada pelo ransomware.

Em resumo, o referido Ransomware realiza a enumeração e identificação das pastas existentes no host e inicia o processo de criptografia dos arquivos utilizando-se do algoritmo AES-256, alterando a extensão dos arquivos para .octo. Após isso, o ransomware despeja as notas de resgate com o nome do arquivo “INSTRUCTIONS.html”, alterando ainda o papel de parede da vítima exigindo o valor de resgate para um endereço específico da carteira Monero.

Antes de ser executado, o Ransomware garante a conexão do sistema com a internet, e em seguida verifica a conexão TCP para acessar a URL da API.

Diante disso, após a análise do comportamento dos referidos ransomwares, listamos todas as Táticas, Técnicas e todos os Procedimentos (TTPs) utilizados por eles.

TTPs identificados

Tática: Execução

• T1059 – Comando e Intérprete de Script.
• T1204 – Execução do artefato pelo usuário.
• T1047 – Instrumentação de gerenciamento do Windows (WMIC).

Tática: Evasão de Defesa

• T1497– Virtualização e Evasão de Sandbox.

Tática: Acesso à credencial

• T1528 – Roubar token de acesso ao aplicativo.

Tática: Descoberta

• T1087 – Descoberta de contas.
• T1082 – Descoberta de informações do sistema
• T1083 – Descoberta de arquvios e diretórios

Tática: Persistência

• T1547.001 – Chaves de Execução do Registro/ Pasta de Inicialização.
• T1053 – Utilização de tarefa/trabalho agendado.

Tática: Comando e Controle

• T1071– Protocolo da Camada de Aplicação.

Tática: Impacto

• T1486– Dados criptografados para impacto.

Tática: Exfiltração

• T1020– Exfiltração Automatizada

Indicadores de Comprometimento

A ISH Tecnologia realiza o tratamento de diversos indicadores de compromissos coletados por meio de fontes abertas, fechadas e de análises realizadas pela equipe de segurança Heimdall. Diante disso, abaixo listamos todos os Indicadores de Comprometimentos (IoCs) relacionadas à análise do(s) artefato(s) desse relatório: