Recopilación de técnicas y vulnerabilidades usadas por el #Ransomware #BlackCat/#ALPHV, empresa afectada EPM Empresas Públicas de Medellín.

La empresa de energía de Colombia Empresas Públicas de Medellín (EPM), que provee de gas y agua, es una de la más grandes de Colombia y brinda servicios a más 123 municipios. EPM publicó un comunicado en su cuenta de twitter el pasado 13 Dic 2022, 9:04am indicaba (Fuente F1): “Informamos a nuestros clientes y usuarios que nuestras oficinas de atención y canales virtuales se encuentran temporalmente fuera de servicio. Esperamos poder habilitarlos nuevamente muy pronto, debido a un incidente de ciberseguridad.

Algunos usuarios reportan que los sistemas de pago están sin funcionar fuente (F4), ala fecha 20/12/2022 el site en mención aún no funciona:

De acuerdo al DLS Data Leak Site: BlackCat/ALPHV Ransomware (Fuente F9) ha publicado información sobre Empresas Públicas de Medellin al 12/26/2022, Going to publish a data soon:

Archivos accedidos y publicados para demostrar que el grupo de ransomware BlackCat/ALPHV sí ha ingresado a los archivos de EPM:

Comparto resumenes de portales y fabricantes especializados sobre el Ransomware BlackCat:

• (1) Bleeping Computer, 16 diciembre 2022
• (2) LUMU Threat Ingelligence Team, 20 diciembre 2022
• (3) Netskope Threat Labs, 09 noviembre 2022
• (4) Microsoft Defender Threat Intelligence, 13 junio 2022
• (5) Group -IB, 26 de junio 2022

(1) BleepingComputer, Colombian energy supplier EPM hit by BlackCat ransomware attack (Fuente F2):

De acuerdo a la información, indica que se trataría del ransomware blackcat o también conocido como ALPHV ocurrido el pasado lunes 12 de diciembre. EPM pidió a más de 4,000 empleados que trabajaran desde casa. EPM reveló a medios locales que estaba respondiendo a un incidente de ciberseguridad y brindó métodos alternativos para que los clientes paguen por los servicios. También ha visto la muestra del cifrador y las notas de rescate del ataque EPM y ha confirmado que son de la operación de ransomware BlackCat.

(2) LUMU Alerta para Organizaciones Colombianas: Cómo enfrentar la dura realidad del estado de ransomware en el páis Fuente (F10), de acuerdo a su equipo de Inteligencia de Amenazas, Colombia registra un incremento de 133% comparado con el mismo periodo del 2021 en el numero de instituciones afectadas por ransomware:

En el grafico anterior, se observa las diferentes familias de ransomware como Netwalker, Cuba, RansomHouse, LockBit, Conti, RansomEXX, Maze, Hive, ViceSociety y BlackCat afectando a EPM Medellin, Universidad Piloto, GHT Corp. Otra información interesante que me gustaría compartir, el equipo de Inteligencia de Amenazas de LUMU:

“La prueba de ello es que el seguimiento que hemos venido haciendo al número de empresas que tienen sus cuentas de correo electrónico comprometidas sigue en aumento. La gravedad de esta situación radica en que estas cuentas se están comerciando en mercados de cibercriminales y se están usando para comprometer masivamente a otras organizaciones. Te compartimos el listado de las empresas afectadas que tenemos identificadas”. Fuente (F10)

(3) Netskope Threat Labs Blackcat Ransomware: Tactics and Techniques from a Targeted Attack (Fuente F8):

En 09 de noviembre 2022 , indicaba que el Ransomware Blackcat crea multiples archivos de texto, en cada uno de ellos está el nombre de las maquinas comprometidas de la red:

Luego los atacantes utilizan Psexec para ejecución remota con una cuenta comprometida de dominio para implementar ExMatter en más de 2000 maquinas de la red (Caso de estudio específico por Netskope):

Los atacantes usaron archivos por lotes para ejecutar múltiples comandos PsExec para desplegar el payload en las máquinas previamente identificadas:

A continuación se muestra un ejemplo de la línea de comando ejecutada por el atacante para ejecutar PsExec y la cuenta comprometida:

#start PsExec.exe -d -n 5 @C:\temp\list01.txt -accepteula -u <USUARIO_REDACTADO> -p <CONTRASEÑA_REDACTADA> cmd /c <LÍNEA_DE_COMANDO>

La descripción de los argumentos de PsExec utilizados por el atacante se puede encontrar a continuación:

Es posible confirmar si PsExec se ejecutó con éxito en una maquina, comprobando la siguiente clave en el Registry:

Para la exfiltración de datos utilizan una herramienta conocida como ExMatter, el atacante intenta desplegar la herramienta en más 2,000 maquinas comprometidas en la red usando PsExec. ExMatter iterará sobre las unidades de las maquinas afectadas para buscar archivos que luego serán exfiltrados.

ExMatter tiene cierta configuración de los tipos de archivos que busca exfiltrar y otros directorios, archivos del sistema operativo que evitará. Adicionalmente, esta herramienta sólo robará archivos entre 4 KB y 64 MB.

(4) Group IB, Fat Cats An Analysis of the BlackCat ransomware affiliate program (Fuente F11): El 26 de junio 2022, The TTPs (tactics, techniques and procedures) of BlackCat ransomware affiliates, han visto las siguiente técnicas:

— -> Obtener acceso a la red, explotación de aplicaciones: Los atacantes explotaron un conjunto de vulnerabilidades conocido como ProxyShell (CVE-2021–34473, CVE-2021–34523, CVE-2021–31207), que les permitió colocar un shell web en un servidor Microsoft Exchange vulnerable. Uso de herramientas de acceso remoto: Además de los servidores de terminales, el acceso a la infraestructura de destino podría obtenerse a través de una VPN; muchas organizaciones aún no usan la autenticación multifactor

— -> Asegurar persistencia: Los atacantes podrían usar túneles (construidos usando ngrok o gost ) o software legítimo (como TeamViewer o ScreenConnect )

— -> Deteccion de redes: Los afiliados rara vez utilizaron métodos innovadores en la etapa de recopilación de datos, confiando en herramientas clásicas. Por ejemplo, para escanear la red, los atacantes usaron SoftPerfect Network Scanner, que es otra herramienta que muchos grupos de ransomware usan ampliamente. Para recopilar información sobre Active Directory, los atacantes utilizaron ADRecon , una herramienta popular entre los afiliados de REvil y BlackMatter. Además, la herramienta NS se utilizó para recopilar datos sobre las unidades locales y de red disponibles.

— -> Descubrimiento de activos clave, propagación de redes y exfiltración de datos: Con suficientes privilegios los atacantes comienzan a moverse a los nodos clave, lo que les permitirá descargar la información más importante y eliminar las copias de seguridad. Para moverse por la red, los afiliados pueden usar técnicas perfectamente legítimas (como RDP ) y otras más ruidosas (p. ej., Impacket : wmiexec y smbexec en particular; y Cobalt Strike ). PuTTY se usa a menudo para obtener acceso a la parte de la infraestructura que se ejecuta en Linux. Antes de ser exfiltrados, los datos se archivan usando 7-Zip y luego se cargan en el servicio de intercambio de archivos MEGA usando la utilidad Rclone. Además, en algunos casos, los afiliados usaban ExMatter, una herramienta de exfiltración que se había visto anteriormente en el arsenal de los miembros del programa de afiliados de BlackMatter .

— -> Implementación de ransomware: La propagación de BlackCat en la infraestructura de TI de la víctima se logra modificando las políticas de grupo (lo que resulta en la creación de una tarea programada, en cada host, que inicia el archivo malicioso) o utilizando PsExec. El ransomware está escrito en Rust. Muchos investigadores consideran acertadamente a BlackCat como uno de los grupos de ransomware más sofisticados que existen en este momento. Hay versiones de BlackCat para Windows (32 bits) y Linux (32 bits y 64 bits). La versión de Linux de 64 bits se dirige principalmente a servidores ESXi. En marzo de 2022, surgió una nueva versión de BlackCat, llamada ALPHV MORPH. En foros clandestinos, sus autores afirmaron con orgullo que, gracias a la ofuscación, el software antivirus prácticamente no puede detectarlo.

— -> LOCKER. Estamos orgullosos de presentar ALPHV MORPH. Sin entrar en detalles picantes, informamos que el binario se borra completamente cada hora. Además de volver a cifrar llamadas, stings y otras cosas, el compilador RUST permite enriquecer cada compilación con basura de tiempo de ejecución única, lo que al final arrojó resultados fantásticos. Por el momento, ningún AV lo detecta (¡no debe confundirse con edr! No lo probamos en Sentinel), incluido Defender con la nube deshabilitada: el binario no se elimina incluso después de que la máquina esté completamente encriptada. Cuando se inicia, BlackCat permite enlaces simbólicos de un elemento eliminado a elementos locales y remotos:
-fsutil behavior set SymlinkEvaluation R2L:1
-fsutil behavior set SymlinkEvaluation R2R:1

Detiene IIS ejecutando el siguiente comando:
-iisreset.exe /stop

Elimina instantáneas de volumen:
-vssadmin.exe Delete Shadows /all /quiet
-wmic.exe Shadowcopy Delete

Deshabilita la recuperación en el menú de arranque de Windows:
-bcdedit /set {default}
-bcdedit /set {default} recoveryenabled No

Borra los registros de eventos de Windows:
-for /F “tokens=*” %1 in (‘wevtutil.exe el’) DO wevtutil.exe cl “%1”

(5) Microsoft Defender Threat Intelligence (Fuente F3):

El 13 de Junio del 2022, indica que ransomware Blackcat es una familia del tipo RaaS (Ransowmare as a Service), la primera vez vista es en Noviembre del 2021, es uno de los primeros ransomware escritos en el lenguaje Rust el cual permite un payloads más completos, habilita técnicas de evasión más sofisticadas para no ser detectados por dispositivos comunes de seguridad, y también su objetivo a múltiples dispositivos y sistemas operativos como Windows, Linux e instancias de VMWare.

En los casos que hemos observado donde el payload de BlackCat no tenía privilegios de administrador, el payload se inició a través de dllhost.exe , que luego lanzó los siguientes comandos a continuación (Tabla 1) a través de cmd.exe . Estos comandos pueden variar, ya que el payload de BlackCat permite a los afiliados personalizar la ejecución según el entorno.

Las banderas utilizadas por los atacantes y las opciones disponibles fueron las siguientes: -s -d -f -c ; — token de acceso ; — propagado ; -no-prop-servidores

Lista de comandos del payload de BlackCat:

En la tabla 1, en general se observan varios comandos como: “vssadmin.exe Delete Shadow /all /quiet” con el objetivo de borrar el backup, copias de seguridad para que la victima no tenga opción de recuperación y así tenga que pagar el rescate. Adicionalmente modifica el registry con el objetivo de incrementar la cantida de request permitidos para distribuir el ransomware vía PsExec.

Bypasea el control de cuentas de usuario (UAC)

BlackCat puede omitir UAC, lo que significa que el payload se ejecutará correctamente incluso si se ejecuta desde un contexto que no sea de administrador. Si el ransomware no se ejecuta con privilegios administrativos, ejecuta un proceso secundario bajo dllhost.exe con suficientes permisos necesarios para cifrar la cantidad máxima de archivos en el sistema.

Enumeración de dominios y dispositivos

El ransomware puede determinar el nombre de la computadora del sistema dado, las unidades locales en un dispositivo y el nombre de dominio y el nombre de usuario de AD en un dispositivo. El malware también puede identificar si un usuario tiene privilegios de administrador de dominio, lo que aumenta su capacidad de rescatar más dispositivos.

Propagación

BlackCat descubre todos los servidores que están conectados a una red. El proceso primero transmite mensajes del Servicio de nombres NetBIOS (NBNC) para verificar estos dispositivos adicionales. Luego, el ransomware intenta replicarse en los servidores de respuesta utilizando las credenciales especificadas en la configuración a través de PsExec.

Obstaculizando los esfuerzos de recuperación

BlackCat tiene numerosos métodos para dificultar los esfuerzos de recuperación. Los siguientes son comandos que pueden ser lanzados por el payload:

• Modifica boot loader
• “C:\Windows\system32\cmd.exe” /c “bcdedit /set {default}”
• “C:\Windows\system32\cmd.exe” /c “bcdedit /set {default} recoveryenabled No”
• Borra Copias de seguridad:
• “C:\Windows\system32\cmd.exe” /c “vssadmin.exe Delete Shadows /all /quiet”
• “C:\Windows\system32\cmd.exe” /c “wmic.exe Shadowcopy Delete”
• Borra regisros de eventos de Windows:
• “C:\Windows\system32\cmd.exe” /c “cmd.exe /c for /F \”tokens=*\” Incorrect function. in (‘ wevtutil.exe el ‘) DO wevtutil.exe cl \”Incorrect function. \””

La familia de Ransomware BlackCat comunmente utiliza los vectores de entrada incluyen:

1. Aplicaciones de escritorio remoto, tipo: Terminal Server RDP 3389/tcp, Anydesk, Teamviewer, etc.
2. Credenciales comprometidas
3. Vulnerabilidades del servidor de Exchange para obtener acceso a la red destino.

A continuación, escenario de Microsoft Exchange vulnerable frente a un ataque de ransomware blackcat, donde en resumen se tiene las siguientes fases:

1. Acceso Inicial, por ejemplo, aprovechando versiones vulnerables de Microsoft Exchange.
2. Descubrimiento, utilizando herramientas de scanning tipo nmap SMB discovery para ubicar otros servidores internos vulnerables.
3. Robo de Credenciales, por ejemplo, utilizando la herramienta Mimikatz.
4. Movimiento Lateral, por ejemplo, aprovechando vulnerabilidades internas como: Ethernal Blue CVE-2017–0144, Zerologon CVE-2020–1472.
5. Exfiltración, por ejemplo, usando MEGASync, RClone.
6. Impacto, distribución del ransomware por ejemplo usando #psexec y realizar una doble extorción.

IOCS (Indicadores de Compromiso)

A la fecha de manera pública aún no se han compartido todos los IOCs utilizados, más la siguiente dirección IP https://174.138.39.225/data estuvo publicando información de acuerdo al investigador Germán Fernández Bacian:

A continuación el enlace original de la publicación de Germán Fernández Bacian, donde se observa el uso de la herramienta de exfiltración #ExMatter el pasado 15 de diciembre fuente (F6):

Haciendo una validación de la IP 174.138.39.225 en VirusTotal, se observa que a la fecha de los 96 motores de antivirus sólo Fortinet lo detecta como malware (Fuente F7) y esta en el AS 14061 ( DIGITALOCEAN-ASN).

Adicionalmente, se observa que el 19 de diciembre fue escaneado y el nombre del archivo tiene relación con el incidente:

Finalmente:

-Las empresas deben contar con personal y áreas especialistas en ciberseguridad monitorizando y entrenándose en responder frente a un Ciber incidente teniendo en cuentas las nuevas técnicas TPPs (Tácticas/Tools, Técnicas y Procedimientos) que están usando los grupos de cibercriminales.

-Se sugiere implementar “procesos” con mejora continua en Gestión de Vulnerabilidades, Respuesta frente a un incidente, Gestión del Backup offline, Gestión de Monitoreo frente a comportamiento maliciosos.

-Contar con herramientas que brinden Visibilidad de lo que está ocurriendo en la red, aproximadamente el ransomware Blackcat desde el cifrado y el rescate se toma aproximadamente 02 semanas (F3), en este periodo se ejecutan diferentes fases, es aquí donde el personal calificado, más procesos y las herramientas pueden bloquearlo y prevenir su ejecución.

Fuentes:

· Fuente (F1), EPM estamos ahí @EPMestamosahi (Cuenta y mensaje oficial del 13 de diciembre, 9:04 https://twitter.com/EPMestamosahi/status/1602665747615997953

· Fuente (F2), Bleeping Computer Colombian energy supplier EPM hit by BlackCat ransomware attack, https://www.bleepingcomputer.com/news/security/colombian-energy-supplier-epm-hit-by-blackcat-ransomware-attack/, del 13 de diciembre 2022

· Fuente (F3), Microsoft Defender Threat Intelligence, the many lives of blackcat ransomware, https://www.microsoft.com/en-us/security/blog/2022/06/13/the-many-lives-of-blackcat-ransomware/, del 13 de junio del 2022.

· Fuente (F4), Usuarios pidiendo prolongar fechas de corte https://twitter.com/Sutilironico/status/1602801252659773440, del 13 de diciembre 2022

. Fuente (F5), Sistema de pago, http://cu.epm.co/clientesyusuarios/servicio-al-cliente/tu-factura, del 13 de diciembre 2022

.Fuente (F6), Publicación del investigador Germán Fernández Bacian, https://twitter.com/1ZRR4H/status/1603601891090485249, del 15 de diciembre 2022

.Fuente (F7), Análisis de IOCs (IP: https://174.138.39.225/data ) en virus total:*

.Fuente (F8), Netskope BlackCat Ransomware: Tactics and Techniques From a Targeted Attack by Gustavo Palazolo, 09 de noviembre 2022.

.Fuente(F9), Onion site de BlackCat/ALPHV Ransomware, 28 de diciembre 2022

.Fuente (F10), LUMU Alerta para organizaciones colombianas: Cómo enfrentar la dura realidad del estado de ransomware en el país, 21 de diciembre 2022

.Fuente (F11), Group-IB, Fat Cats An Analysis of the BlackCat ransomware affiliate program, 26 de junio 2022