23 jul 2022

Cambios en ransomware LockBit 3.0 y nuevas funciones desde LockBit 2.0

El ransomware LockBit 3.0 (también conocido como LockBit Black) es una evolución de la prolífica familia de ransomware como servicio (RaaS) LockBit, cuyas raíces se remontan a BlackMatter y entidades relacionadas.

Después de que se descubrieron errores críticos en LockBit 2.0 en marzo de 2022, los autores comenzaron a trabajar en la actualización de sus rutinas de cifrado y agregaron varias características nuevas diseñadas para frustrar a los investigadores. En junio de 2022, LockBit 3 captó el interés de los medios cuando los operadores de ransomware anunciaron que estaban ofreciendo una "recompensa por errores" a los investigadores.

<

En esta publicación, brindamos una descripción general de la actualización del ransomware LockBit 3.0 y ofrecemos una inmersión técnica para los investigadores en las funciones de evasión y antianálisis de LockBit 3.0.

Alrededor de junio de 2022, los operadores y afiliados detrás del ransomware LockBit comenzaron el cambio a LockBit 3.0. La adopción de LockBit 3.0 por parte de los afiliados ha sido rápida y se han identificado numerosas víctimas en los nuevos sitios de fuga de la "Versión 3.0", una colección de blogs públicos que nombran a las víctimas que no cumplen y filtran los datos extraídos.

Con el fin de mejorar la resiliencia, los operadores han sido agresivos con respecto a levantar múltiples espejos para sus datos filtrados y publicitar las URL del sitio. LockBit también agregó una herramienta de búsqueda instantánea a su sitio de filtraciones.

Además de eso, se ofrece una supuesta recompensa de U$S 1 millón a cualquiera que pueda descubrir la identidad del administrador de afiliados del programa. Comprensiblemente, dada la naturaleza delictiva de los operadores, los posibles investigadores pueden encontrar que informar errores a un equipo de crimeware puede no generar el pago prometido, pero podría generar cargos penales por parte de las fuerzas del orden.

Cifrado y cargas útiles de LockBit 3.0

Los payloads de LockBit actualizadas conservan toda la funcionalidad anterior de LockBit 2.0. La entrega inicial del ransomware generalmente se maneja a través de frameworks de terceros, como Cobalt Strike. Al igual que con LockBit 2.0, también hemos visto infecciones en la cadena de otros componentes de malware, como una infección SocGholish que deja caer Cobalt Strike, que a su vez entrega el ransomware LockBit 3.

Las cargas útiles en sí mismas son archivos estándar de Windows PE con fuertes similitudes con las generaciones anteriores de LockBit, así como con las familias de ransomware BlackMatter. Las cargas útiles del ransomware LockBit están diseñadas para ejecutarse con privilegios administrativos. En el caso de que el malware no tenga los privilegios necesarios, se intenta un bypass de UAC (CMSTP / T1218/003).

LockBit 3.0 logra la persistencia a través de la instalación de los servicios del sistema. Cada ejecución instala múltiples servicios, tales como:

Sense / sppsvc / WdBoot / WdFilter / WdNisDrv / WdNisSvc / WinDefend / wscsvc /
vmicvss / vmvss / VSS / EventLog

Al igual que con las versiones anteriores, LockBit 3.0 intenta identificar y cerrar servicios específicos. Los siguientes nombres de servicio están destinados a la terminación en las muestras analizadas de LockBit 3.0:

backup / GxBlr / GxCIMgr / GxCVD / GxFWD / GxVss / memtas / mepocs / msexchange / sophos /
sql / svc$ / veeam / vss / agntsvc / dbeng50 / dbsnmp / encsvc / excel / firefox / infopath / isqlplussvc /
msaccess / mspub / mydesktopqos / mydesktopservice / notepad / ocautoupds / ocomm / ocssd / onenote /
oracle / outlook / powerpnt / registry / sqbcoreservice / steam / synctime / tbirdconfig / thebat /
thunderbird / visio / winword / wordpad / xfssvccon

LockBit 3.0 escribe una copia de sí mismo en el directorio %programdata% y, posteriormente, se inicia desde este proceso.

La fase de cifrado es extremadamente rápida, incluso cuando se propaga a hosts adyacentes. Las cargas de ransomware pudieron cifrar completamente nuestro host de prueba en menos de un minuto.

Al ejecutarse, el ransomware LockBit 3.0 soltará notas de rescate con formato nuevo junto con un cambio en el fondo del escritorio. Curiosamente, el bloc de notas y el wordpad están incluidos en la lista de procesos prescritos, como se indicó anteriormente. Por lo tanto, si una víctima intenta abrir la nota de rescate inmediatamente después de que se suelta, se cerrará rápidamente ya que el proceso se bloquea hasta que el ransomware complete su ejecución.

El nuevo fondo de escritorio del ransomware LockBit 3.0 es un simple mensaje de texto sobre un fondo negro.

La extensión adjunta a los archivos recién cifrados también diferirá según la campaña o la muestra. Tanto los archivos cifrados como las notas de rescate se antepondrán con la cadena específica de la campaña. Por ejemplo: futRjC7nx.README

Después de la infección, se indica a las víctimas de LockBit 3.0 que se pongan en contacto con su atacante a través de su portal de "soporte" basado en TOR.

LockBit 3 Antianálisis y evasión

El ransomware LockBit 3.0 utiliza una variedad de técnicas antianálisis para dificultar el análisis estático y dinámico, y muestra similitudes con el ransomware BlackMatter en este sentido. Estas técnicas incluyen empaquetado de código, ofuscación y resolución dinámica de direcciones de funciones, trampolines de funciones y técnicas anti-depuración. 

Las cargas útiles de LockBit 3.0 requieren una frase de contraseña específica para ejecutarse. La frase de contraseña es única para cada muestra o campaña y sirve para dificultar el análisis dinámico y de sandbox si la frase de contraseña no se ha recuperado junto con la muestra. Egregor y BlackCat ransomware han utilizado una técnica similar. La frase de contraseña se proporciona al momento de la ejecución a través del parámetro -pass. Por ejemplo,

lockbit.exe -pass XX66023ab2zyxb9957fb01de50cdfb6

El contenido cifrado ubicado en la carga útil de LockBit 3.0 se descifra en tiempo de ejecución mediante una función XOR.

Conclusión

LockBit se ha convertido rápidamente en uno de los operadores de ransomware como servicio más prolíficos que existen, tomando el relevo de Conti después de las consecuencias conflictivas de este último a raíz de la invasión rusa de Ucrania.

Los desarrolladores de LockBit han demostrado que responden rápidamente a los problemas del producto que ofrecen y que tienen los conocimientos técnicos para seguir evolucionando. La reciente afirmación de ofrecer una "recompensa por errores", independientemente de sus verdaderos méritos, muestra una comprensión inteligente de su propia audiencia y el panorama de los medios que rodea la marea actual de crimeware.

A falta de la intervención de las fuerzas del orden, esperamos ver seguido a LockBit en el futuro inmediato en más iteraciones de lo que sin duda es una operación RaaS muy exitosa.

Fuente: SentinelOne

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!