A operação de ransomware BlackCat/ALPHV começou a usar uma nova ferramenta chamada 'Munchkin' que utiliza máquinas virtuais para implantar criptografadores em dispositivos de rede de maneira furtiva.
Munchkin permite que o BlackCat funcione em sistemas remotos ou criptografe compartilhamentos de rede do Server Message Block (SMB) ou do Common Internet File (CIFS).
A introdução do Munchkin ao já extenso e avançado arsenal do BlackCat torna o RaaS mais atraente para os cibercriminosos que buscam se tornar afiliados de ransomware.
A Unidade 42 da Palo Alto Networks descobriu que a nova ferramenta Munchkin do BlackCat é uma distribuição Linux do Alpine OS personalizada que vem como um arquivo ISO.
Depois de comprometer um dispositivo, os atores de ameaças instalam o VirtualBox e criam uma nova máquina virtual usando o ISO do Munchkin.
Esta máquina virtual Munchkin inclui um conjunto de scripts e utilitários que permitem aos atores de ameaças extrair senhas, espalhar-se lateralmente pela rede, construir um payload criptografador 'Sphynx' do BlackCat e executar programas em computadores de rede.
Ao inicializar, ele altera a senha do root para uma conhecida apenas pelos atacantes e utiliza a utilidade 'tmux' para executar um binário de malware baseado em Rust chamado 'controller' que começa a carregar scripts usados no ataque.
Estes scripts estão listados abaixo:
O 'controller' usa o arquivo de configuração empacotado, que fornece tokens de acesso, credenciais da vítima e segredos de autenticação, bem como diretivas de configuração, listas de bloqueio de pastas e arquivos, tarefas a serem executadas e hosts a serem visados para criptografia.
Esta configuração é usada para gerar executáveis criptografadores personalizados do BlackCat no diretório /payloads/, que são então enviados para dispositivos remotos para criptografar arquivos ou criptografar compartilhamentos de rede SMB e CIFS.
A Unidade 42 descobriu uma mensagem no código do malware dos autores do BlackCat para seus parceiros, alertando contra a deixar o ISO nos sistemas alvo devido à falta de criptografia para a configuração, destacando especialmente o risco de vazamento do token de acesso ao chat.
Um problema comum que afeta as vítimas de ransomware e os cibercriminosos é que as amostras geralmente vazam por meio de sites de análise de malware.
Analisar as amostras de ransomware permite que os pesquisadores tenham acesso total ao chat de negociação entre uma gangue de ransomware e sua vítima.
Para evitar isso, os afiliados fornecem tokens de acesso ao site de negociação Tor em tempo de execução ao lançar.
Portanto, é impossível obter acesso ao chat de negociação da vítima, mesmo se eles tiverem acesso à amostra usada no ataque.
Devido a isso, os atores de ameaças alertam os afiliados de que devem excluir as máquinas virtuais Munchkin e os ISOs para evitar que esses tokens de acesso vazem.
Os desenvolvedores também incluem instruções e dicas sobre como usar o 'Controller' para monitorar o progresso do ataque e lançar tarefas.
O Munchkin facilita para os afiliados ao ransomware BlackCat a realização de várias tarefas, incluindo a evasão de soluções de segurança que protegem o dispositivo da vítima.
Isso ocorre porque as máquinas virtuais fornecem uma camada de isolamento do sistema operacional, tornando a detecção e análise mais desafiadoras para os softwares de segurança.
Além disso, a escolha do Alpine OS garante uma pequena pegada digital e as operações automatizadas da ferramenta reduzem a necessidade de intervenções manuais e ruídos dos feeds de comando.
Finalmente, a modularidade do Munchkin, com uma variedade de scripts em Python, configurações exclusivas e a capacidade de trocar payloads conforme necessário, torna a ferramenta fácil de ajustar para alvos ou campanhas específicos.
BlackCat surgiu no final de 2021 como uma sofisticada operação de ransomware baseada em Rust como sucessora de BlackMatter e Darkside.
O RaaS seguiu uma trajetória bem-sucedida até agora, apresentando regularmente recursos avançados como criptografia intermitente altamente configurável, API de vazamento de dados, incorporação de Impacket e Remcom, criptógrafos com suporte para credenciais personalizadas, drivers de kernel assinados e atualizações na ferramenta de exfiltração de dados.
Vítimas notáveis do BlackCat em 2023 incluem o Tribunal de Circuito da Flórida, MGM Resorts, Motel One, Seiko, Estee Lauder, HWL Ebsworth, Western Digital e Constellation Software.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...