Analizamos el ransomware AlphV y sus repercusiones para las organizaciones con fuga de datos personales

Por Caique Barqueta:ALPHVRansomware, también conocido como BlackCat, Alphvm o Noberus; es una familia de ransomware que utiliza el método Ransomware-as-a-Service (RaaS) en sus operaciones.

Este ransomware fue detectado por primera vez en noviembre de 2021 y golpeó a varias organizaciones en los primeros meses de operaciones, uno de los puntos que llamó la atención fue que fue escrito y desarrollado en el lenguaje de programación Rust. Además, cuenta con la creación de carga útil específica, poseyendo soporte para variantes de Windows y Linux, incluyendo características específicas para hosts VMware ESXi.

Algunos informes disponibles han vinculado que el grupo en cuestión fue creado por antiguos miembros de otros grupos ciberdelictivos como BlackMatter, REvil y DarkSide.

Debido a su gran potencial para causar daños a las organizaciones, fue "votado" como el ransomware más sofisticado en 2021, y en abril de 2022, el FBI publicó una alerta que destacaba los TTP y los indicadores conocidos (IOC) asociados a ALPHV, que se incorporan a este informe.

La venta de este ransomware se realizaba a través de anuncios en foros clandestinos de origen ruso.

Figura 1. El ransomware ALPHV RaaS se difunde en un foro clandestino.

El perfil de Twitter de los investigadores conocidos como MalwareHunterTeam bautizó al ransomware como BlackCat debido al mismo favicon de un gato negro usando una daga ensangrentada en el sitio de filtración de datos a través de la Red Tor.

Figura 2. Favicons utilizados en el sitio de pago y fuga de datos.

Como ya se ha mencionado, al tratarse de una operación de ransomware como servicio (RaaS), los operadores de ALPHV reclutan afiliados para llevar a cabo violaciones corporativas y cifrar dispositivos, y a cambio, los afiliados obtendrán tramos de ingresos variables en función del importe del pago del rescate.

Ejemplos:

  • En los reembolsos de hasta 1,5 millones de dólares, el afiliado recibe entre el 80% y el 85%.
  • En los reembolsos de hasta 3 millones de dólares, el afiliado recibe el 90%.

Siendo que, en un principio, el cierre de las operaciones de otros ransomware terminó ayudando a ALPHV a "prospectar" nuevos afiliados, aumentando su potencial de daño a las organizaciones.

Análisis y detalles técnicos del ransomware

Los investigadores llevaron a cabo un análisis con el objetivo de explorar las características de la variante 2021 de ALPHV, que incluía algunas características avanzadas que destacan de otras operaciones de ransomware.  

Este payload está totalmente controlado por línea de comandos, operado por humanos, tiene la capacidad de ser configurable según el entorno, utilizar diferentes rutinas de cifrado, propagarse lateralmente a otros activos, infectar máquinas virtuales VMware ESXi y borrar automáticamente las instantáneas ESXi para impedir su recuperación.            

A continuación se muestran las opciones de carga útil cuando se utiliza el argumento "-help".

Figura 3. Opciones que utilizará la carga maliciosa.

Cada ejecutable de ALPHV incluía una configuración JSON que permitía personalizar las extensiones, notas de rescate, carpetas/archivos/extensiones; cómo se cifrarán los datos y los servicios y procesos que se cerrarán automáticamente.

El ransomware podía configurarse para utilizar cuatro modos de cifrado diferentes, según la publicación del foro.

Figura 4. rutinas de encriptación según el anuncio.

He aquí la traducción:

"El software está escrito desde cero, sin utilizar plantillas ni códigos fuente previamente filtrados de otros ransomware. La opción que se ofrece es:

4 modos de encriptación:

  • Completo - Cifrado completo de archivos (el más seguro y lento).
  • Rápido - Cifrado de los primeros N megabytes (no se recomienda su uso, es la solución más insegura posible, pero la más rápida).
  • DontPattern - Cifrado de N megabytes por M pasos (si se configura incorrectamente, Fast puede funcionar peor tanto en velocidad como en fuerza criptográfica).
  • Auto - En función del tipo y del tamaño del fichero, el casillero (tanto en Windows como en NIX/ESXi) elige la estrategia más óptima en términos de velocidad/seguridad para el tratamiento del fichero.
  • SmartPattern - Cifrado N megabytes en pasos porcentuales (por defecto encripta 10 megabytes cada 10% del archivo a partir de la cabecera. El modo más idóneo en la relación velocidad/fuerza criptográfica).
    • 2 algoritmos de cifrado:
      • ChaCha20
      • AES

En modo automático, el software detecta la presencia de soporte de hardware AES (existe en todos los procesadores modernos) y lo utiliza. Si no hay soporte AES, el software cifra los archivos ChaCha20".

El sistema operativo en el que el actor malicioso ha creado el ransomware es compatible con los sistemas:

  • Windows 7 y superior (probado en 7, 8.1, 10, 11; 2008r2, 2012, 2016, 2019, 2022); XP y 2003 se pueden cifrar en SMB)
  • Servidores ESXi (probado en 5.5, 6.5, 7.0.2u)
  • Debian (probado en 7, 8 y 9)
  • Ubuntu (probado en 18.04, 20.04)
  • ReadyNas, Synology

ALPHV también puede configurarse con credenciales de dominio que pueden utilizarse para propagar el ransomware y cifrar otros dispositivos de la red. El ejecutable extraerá PSExec en la carpeta %Temp% y lo utilizará para copiar el ransomware a otros dispositivos de la red y ejecutarlo para cifrar la máquina Windows conectada remotamente.

Al iniciar el ransomware, el afiliado puede utilizar una base de interfaz gráfica basada en consola que le permite supervisar la progresión del ataque.

Figura 5: Cifrado de archivos de prueba.

En la muestra analizada, el ransomware cerrará procesos y servicios de Windows que pueden impedir que se cifren los archivos. Estos procesos terminados en última instancia incluyen Veeam(software de copia de seguridad), servidores de bases de datos, Microsoft Exchange, aplicaciones de Office, clientes de correo electrónico y otros.

Otras acciones realizadas son la limpieza de la papelera de reciclaje, la eliminación de volúmenes de copiasombra, la comprobación de otros dispositivos de la red y la conexión a un clúster de Microsoft.

Por último, tras la rutina de cifrado, el ransomware cambiará una extensión de nombre aleatorio que se adjunta a todos los archivos y se incluye en la nota de rescate. La nota de rescate tiene el formato "RECOBER-[extensión]-FILES.txt".

Figura 6. Ejemplo de nota de rescate creada por Bleeping Computer.

Para actuar, el ransomware necesita ser ejecutado con parámetros relacionados con el token de acceso, y si se ejecuta sin dicho token, el ejecutable no se inicia.

Figura 07. Intento de ejecución del ransomware.

El token se personaliza para cada tipo de víctima, es decir, para cada ejecución será necesario obtener el token de inicialización de los parámetros del ransomware para enlazar el ejecutable con el script, en este caso se utiliza un token de 32 caracteres para inicializarlo.

En otros ciberataques, se observó que los atacantes utilizaban diversos programas de acceso remoto para obtener un método de respaldo que les permitiera conectarse a distancia a las redes de los objetivos, utilizando herramientas como AnyDesk y TeamViewer, e instalando además una herramienta de acceso remoto llamada ngrok.

Figura 08. Ejemplo de script PowerShell utilizado por los actores para descargar la herramienta AnyDesk e incluir un valor de contraseña al cliente.

Otro dato mencionado es que existen variantes para otros sistemas operativos, como para sistemas Linux, siendo identificada esta variante en diciembre de 2021.

Figura 09. El menú -help de la versión Linux de ALPHV.
Figura 10. Contenido del archivo JSON de configuración del ransomware.

Cadena de ataque y TTP

Además de lo anterior, ALPHV adopta algunas acciones estándar para otros tipos de ataques de ransomware operados por humanos, como el compromiso inicial, la explotación y exfiltración de datos, la preparación y ejecución del ataque.

Figura 11. Cadena de ataque utilizada por el ransomware ALPHV (BlackCat).

Durante la cadena de ataque, se observó el uso de herramientas como 7zip, LaZagne, MEGAsync, Mimikatz, PsExec, WebBrowserPassView, ConnectWise Control, Cobalt Strike, NetScan, Bloodhound, CrackMapExec, Inveigh y Rclone, que son algunas de las que también utilizan otros tipos de operadores de ransomware.

Además, se observaron algunas de las siguientes TTP utilizadas por los operadores de ALPHV y, si se identifica una combinación de dichas técnicas, se podría identificar un posible ataque de ransomware vinculado a ALPHV.

TécnicaTácticas
Acceso inicial (TA0001)Cuentas válidas (T1078)
Recogida (TA0009)Datos del sistema local (T1005) Archivar datos recogidos (T1560)
Persistencia (TA0003)Crear o Modificar Proceso del Sistema:Servicio de Windows (T1543.003)
Defensa Evasión (TA0005)Modificar el Registro (T1112) Deterioro de Defensas: Deshabilitar o Modificar Herramientas (T1562-001) Archivos o Información Ofuscados ( T1027) Archivos o Información Ofuscados: Empaquetado de Software (T1027.002) Desofuscación/Descodificación de Archivos o Información ( T1140) Ejecución indirecta de comandos ( T1202) Uso de Material de Autenticación Alternativo: Pasar el Hash (T1550.002) Ejecución de Proxy Binario del Sistema: CMSTP (T1218.003)
Acceso a credenciales (TA0006)Volcado lsass (T1003.004) Credenciales no seguras (T1552) Adversario en el Medio: Envenenamiento LLMNR/NBT-NS y Relevo SMB (T1557.001)
Exfiltración (TA0010)Exfiltración a través de servicios web: Exfiltración al almacenamiento en la nube (T1567.002)
Ejecución (TA0002)Instrumentación de Gestión de Windows (T1047) Tarea Programada/Job:Cron (T1053.003) Intérprete de Comandos y Scripts ( T1059) Módulos Compartidos (T1129) Servicios del Sistema: Ejecución de Servicios (T1569.002)
Descubrimiento (TA0007)Detección de conexiones de red del sistema (T1049) Descubrimiento de Servicios del Sistema (T1007) Detección de procesos (T1057) Detección de información del sistema (1082) Descubrimiento de Archivos y Directorios (T1083)
Movimiento lateral (TA0008)SMB/Windows Admin Shares (T1021.002) RDP (T1021.001) Transferencia lateral de herramientas (T1570)
Mando y control (TA0011)Proxy: Proxy multisalto (T1090.003) Transferencia de herramientas de entrada (T1105)
Impacto (TA0040)Destrucción de datos (T1485) Cifrado de Datos por Impacto ( T1486) Parada del Servicio ( T1489) Inhibición de la Recuperación del Sistema ( T1490) Denegación de Servicio de Red (T1498) Denegación de Servicio de Endpoint ( T1499) Eliminación de Acceso a Cuenta (T1531)

CVE utilizados

En los ciberataques identificados, se verificó que cuatro vulnerabilidades conocidas y ya publicadas habían sido explotadas por los actores de la amenaza ALPHV, siendo:

  • CVE-2021-31207: Vulnerabilidad de Microsoft Exchange Server.
  • CVE-2021-34473: Vulnerabilidad de ejecución remota de código en Microsoft Exchange Server.
  • CVE-2021-34523: Vulnerabilidad de elevación de privilegios en Microsoft Exchange Server.
  • CVE-2016-0099: Vulnerabilidad en el servicio de inicio de sesión secundario de Microsoft Windows Vista SP2, Windows Server 2008 SP2 y R2 SP1, Windows 7 SP1, Windows 8.1, Windows Server 2012 Gold y R2, Windows RT 8.1 y Windows 10 Gold y 1511 que podría permitir a usuarios locales obtener privilegios a través de una aplicación crafteada.

Fuga de datos

ALPHV, utiliza un sitio de filtración de datos para la publicación de sus víctimas, al que se puede acceder a través de la Red Tor.

Figura 12. Sitio de fuga de datos de ALPHV.

En la primera semana de marzo de 2023, se identificó un ciberataque a una empresa del segmento de servicios médicos y hospitalarios, en el que la ALPHV realizó exfiltración de datos, y entre los datos personales se divulgaron fotografías de personas que se encuentran bajo tratamiento de salud en diversos tipos de diagnósticos.

Esta actitud demuestra claramente que los operadores de ransomware utilizan cada vez más argumentos y métodos extorsionadores para obligar a las organizaciones a pagar el rescate o incluso a no revelar datos personales.

Conclusión

En el momento de la identificación de dicho ransomware de BlackCat , o ALPHV, debido al cierre de las operaciones de REvil y BlackMatter surgió la oportunidad de que BlackCat se hiciera cargo del nicho de ataques de ransomware junto con los operadores de LockBit.

BlackCat tiene algunos detalles relevantes, como la compilación en un lenguaje de programación diferente a los operadores de ransomware más comunes, utilizando el lenguaje Rust.

Otro hecho relevante es que ALPHV realiza ciberataques a diversas instituciones, no optando por un segmento específico, llevando a cabo también la exfiltración de datos e información relevante para los operadores para ser utilizada como complemento a la extorsión de pagos.

A la caza del ALFAV

Además de las recomendaciones que se abordarán a continuación, existen algunas otras opciones y acciones que pueden servir para cazar e identificar la actividad de Alphv/ BlackCat en su red o infraestructura.

  • Identificación de tráfico SMB sospechoso.
  • Exclusión de la"Shadow Copy" a través de "vssadmin".
  • Modo de recuperación editado o desactivado mediante "bcedit.exe
  • Propagación a través de "psexec".
  • Utilización de herramientas antifraude, como limpiadores de archivos
  • UUID de máquina recogido mediante comandos WMIC.
    • El identificador único universal (UUID) se utiliza posteriormente, junto con el token, para identificar a la víctima en un sitio Tor alojado por los actores maliciosos.
  • Ejecución de comandos de tabla ARP para mostrar las entradas ARP actuales.
  • Borrar todos los registros de eventos a través de "wevutil.exe".

Recomendaciones

Además de los indicadores de compromiso enumerados a continuación por el ISH, se pueden adoptar medidas con vistas a mitigar la infección de dicho malware, como por ejemplo

  • Realice copias de seguridad periódicas: Guarde copias de seguridad de todos los datos importantes en un lugar seguro y desconectado;
  • Realice actualizaciones de software: mantenga al día todos los activos de software, incluidos los sistemas operativos y las aplicaciones.
  • Utilizar protección de red como cortafuegos, antivirus y otras medidas de seguridad para proteger tu red.
  • Llevar a cabo una labor de concienciación con los empleados, enseñándoles a reconocer y evitar amenazas como el phishing y/o hacer clic en enlaces maliciosos.
  • Supervisión periódica de su red y sistemas para identificar y responder rápidamente a cualquier actividad sospechosa.
  • Creación y aplicación de un plan de respuesta a incidentes, que en caso de ataques de ransomware podrá utilizarse y contendrá información como cuestiones relacionadas con las copias de seguridad y la recuperación del sistema.

Indicadores de compromiso

ISH Technology realiza el tratamiento de varios indicadores de compromisos recogidos a través de fuentes abiertas, fuentes cerradas y también a partir de análisis realizados por el equipo de seguridad de Heimdall. En vista de ello, a continuación enumeramos todos los Indicadores de Compromisos (IOC) relacionados con el análisis del artefacto o artefactos de este informe.

Indicadores de compromiso de artefacto malicioso/analizado
md5:b6b9d449c9416abf96d21b356a41a28e
sha1:38fa2979382615bbee32d1f58295447c33ca4316
sha256:be8c5d07ab6e39db28c40db20a32f47a97b7ec9f26c9003f9101a154a5a98486
Nombre del fichero:plLZT9yYjuyYODz2M6HuVviEqlgEgC.exe
Indicadores de compromiso de artefacto malicioso/analizado
md5:843001980e5073c7f0ea8b56873246b8
sha1:36dff07387cf3f2393339d30d0672fcbccc7a73c
sha256:5121f08cf8614a65d7a86c2f462c0694c132e2877a7f54ab7fcefd7ee5235a42
Nombre del fichero:blackcat.elf. óxido
Indicadores de compromiso de artefacto malicioso/analizado
md5:79fea7f741760ea21ff655137af05bd0
sha1:9146a448463935b47e29155da74c68d16e0d7031
sha256:f8c08d00ff6e8c6adb1a93cd133b19302d0b651afd73ccb54e3b6ac6c60d99c6
Nombre del fichero:gato negro
Indicadores de compromiso de artefacto malicioso/analizado
md5:db7a7403e5e248d0e96efe67cef73449
sha1:11331c98855fdf42bd94a84687661c682336fea9
sha256:847fb7609f53ed334d5affbb07256c21cb5e6f68b1cc14004f5502d714d2a456
Nombre del fichero: 
Indicadores de compromiso de artefacto malicioso/analizado
md5:a7066d859ebbb72dbf7e389315af602a
sha1:62ef117c4e6498ec4ecc5b16b8b26fb7f0856530
sha256:6253659a160638bb4622dcf28a4f0e0474129794827de68bc276bc4b29e0addf
Nombre del fichero:yyyy.exe
Indicadores de compromiso de artefacto malicioso/analizado
md5:b00b5eb046fe27f645b2a9b7aecc0205
sha1:cade2b4fd89e611c335edacc749ddc33899b95f2
sha256:326993f7e516c7a9608bb8bdc9a7ae162ca485f70a97ede3fd9ba137878c66e5
Nombre del fichero:ananadae.exe
Indicadores de compromiso de artefacto malicioso/analizado
md5:0c4a0c871ebe8a24e8406f351606cd32
sha1:f73f1cea4f873e9c6c105598f90af40a52a4b613
sha256:e3ab77bd18631ec47eeaed44753cd9d55db0db7e5961f486f5963013656dc3df
Nombre del fichero:winlogon.exe
Indicadores de compromiso de artefacto malicioso/analizado
md5:676edc977738e12afe401808f7f45b18
sha1:e15d990f8105ed7ff5453988c14dc16173024b66
sha256:53570d6534ecb6c826a2ae043a6d9ae6c026bbb35a48d8bb750a6b6f03525a03
Nombre del fichero:netlogon.exe

URLs de distribución e IPs C2:

52.149.228.45
20.46.245.56

Además de estos Indicadores de Compromiso relacionados con ALPHV, ISH Technology, a través del GTI (Global Threat Intelligence) bajo el cuidado del equipo de Inteligencia Heimdall, recoge y trata diariamente indicadores relacionados con diversas amenazas, así como trata diariamente por ejemplo, direcciones de IPs maliciosas, dominios, hashes de ficheros entre otros, con la posibilidad de entrega de indicadores derivados de incidentes e identificación de amenazas.

Figura 13. Indicadores de compromiso abordados por ISH a través de la GTI.

En el ejemplo anterior, se enumeran todos los hashes gestionados por ISH, y el ejemplo siguiente trata del evento relacionado con el ransomware ALPHV, en el que se recopilaron varios COI más de este actor de amenazas, cuya entrega podría realizarse a través del GTI.

Figura 14. Indicadores de compromiso vinculados al GIT de AlphV
Figura 15. Indicadores de compromiso vinculados al GIT de AlphV

Referencias

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *.