EXECUTIVE SUMMARY
ALPHV/BlackCat adalah ransomware pertama yang dikenal secara luas yang ditulis dalam bahasa pemrograman Rust. Malware ini harus dijalankan dengan token akses yang terdiri dari nilai 32-byte (parameter -access-token), dan parameter khusus lainnya. Ransomware ini dilengkapi dengan konfigurasi terenkripsi yang berisi daftar layanan/proses yang akan dihentikan, daftar direktori/file/ekstensi yang masuk whitelist, dan daftar kredensial yang dicuri dari environtment korban. fungsi ini menghapus semua Salinan Volume tersembunyi, melakukan priviledge escalation menggunakan interface CMSTPLUA COM, dan mengaktifkan link "remote-to-local" dan "remote-to-remote" pada mesin korban.
File-file tersebut dienkripsi menggunakan algoritma AES, dengan kunci AES dienkripsi menggunakan kunci publik RSA yang terdapat dalam konfigurasi. Ekstensi file yang dienkripsi diubah menjadi uhwuvzu oleh malware.
ANALYSIS & FINDINGS
Gambar 1.0
Gambar 1.0 menunjukan informasi file mulai dari tipe file, ukuran, nilai hash dan fitur dan lain sebagainya.
EXECUTION
Dengan mengakses link onion khusus dalam catatan permintaan tebusan yang disebut "RECOVER-<extension>-FILES.txt", korban akan dihadapkan pada beberapa tab yang berisi informasi seperti jumlah nominal tebusan dalam mata uang digital Bitcoin dan Monero, alamat dompet pelaku, live chat, dan uji coba dekripsi yang dapat digunakan untuk mendekripsi beberapa file secara gratis.
 |
INITIAL ACCESS
Menurut analisis kami, titik masuknya dalam organisasi adalah server Exchange yang rentan terhadap kerentanan Microsoft Exchange. Beberapa webshell telah diidentifikasi pada server yang terkena dampak.
REMOTE ACCESS TOOLS
Setelah mendapatkan akses ke jaringan internal, ransomware tersebut menginstal alat yang sah MobaXterm dan mottynew.exe (terminal MobaXterm).
OTHER TOOLS INSTALLED
Kami menemukan bahwa ransomware menginstal tool cURL untuk mengunduh file tambahan. Process Hacker juga dipasang oleh malware dan dapat digunakan untuk dump memori proses LSASS. Di direktori yang sama dengan Process Hacker, ransomware BlackCat menaruh salinan tool PEView, yang merupakan penampil untuk file Portable Executable (PE).
LATERAL MOVEMENT
Seperti yang telah kita ketahui, BlackCat mencuri kredensial dari environtment korban dan memasukkannya ke dalam konfigurasinya ("kredensial" field). Mimikatz digunakan untuk dump kredensial, dan kemudian malware berputar dari satu mesin ke mesin lainnya melalui Remote Desktop Protocol (RDP).
SoftPerfect Network scanner versi lama digunakan untuk melakukan pemindaian jaringan guna menemukan target tambahan di jaringan lokal.
DATA EXFILTRATION
Setelah pelaku memutuskan file mana yang akan dieksfiltrasi, malware mengompresnya menggunakan WinRAR atau 7zip kemudian menginstal alat yang disebut rclone yang digunakan untuk mengunggah data ke cloud storage providers. Alat kedua yang disebut MEGAsync juga dipasang oleh proses tersebut, yang dapat mengunggah data ke MEGA Cloud Storage.
Kami juga mengamati ransomware menginstal alat seperti FileZilla dan WinSCP yang dapat digunakan untuk melakukan eksfiltrasi data.
CONCLUSION
Ransomware BlackCat tetap menjadi ancaman yang serius karena bukan hanya menargetkan host Windows tetapi juga host Linux, dan VMWare ESXi. Perlu token akses (32 byte) khusus yang dipakai untuk menjalankan malware ini secara otomatis, sehingga kecil kemungkinan dilakukan sandboxing dan juga meningkatkan kesulitan pada saat analisis malware dinamis. Penggunaan alat yang sah untuk melakukan aktivitas berbahaya dapat meningkatkan potensi untuk tidak terdeteksi oleh Endpoint Detection & Response (EDR) atau perangkat lunak antivirus.
ADDITIONAL INFORMATION
Contoh file terenkripsi ditampilkan di bawah ini:
Gambar 3.0
Ransomware membuat sebuah gambar PNG yang disebut "RECOVER-uhwuvzu-FILES.txt.png":
Gambar 4.0
Gambar 5.0
Wallpaper Desktop diubah menjadi gambar di atas dengan memanggil API SystemParametersInfoW (0x4 = SPI_SETDESKWALLPAPER, 0x10 = SPIF_UPDATEINIFILE | SPIF_SENDCHANGE):
INDICATORS OF COMPROMISE (IOCs)
Pipe
\\.\pipe\__rust_anonymous_pipe1__.<Process ID>.<Random number>
BlackCat Ransom Note
RECOVER-uhwuvzu-FILES.txt
Files created
checkpoints-<Filename>.uhwuvzu
RECOVER-uhwuvzu-FILES.txt.png
Processes spawned
cmd.exe /c “wmic csproduct get UUID”
cmd.exe /c “fsutil behavior set SymlinkEvaluation R2L:1”
cmd.exe /c “fsutil behavior set SymlinkEvaluation R2R:1”
cmd.exe /c “iisreset.exe /stop”
cmd.exe /c “vssadmin.exe Delete Shadows /all /quiet”
cmd.exe /c “wmic.exe Shadowcopy Delete”
cmd.exe /c “bcdedit /set {default}”
cmd.exe /c “bcdedit /set {default} recoveryenabled No”
cmd.exe /c for /F “tokens=*” %1 in (‘wevtutil.exe el’) DO wevtutil.exe cl %1
cmd.exe
/c “reg add
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
/v MaxMpxCt /d 65535 /t REG_DWORD /f”
cmd.exe /c “arp -a”
Demikian laporan singkat terkait ransomware blackcat, semoga bisa menambah pengetahuan dan wawasan kita, terimakasih.
Author: Bayu Surya Arafah also Researcher
Posting Komentar