Ransomware

Análise e atribuição do Eternity Ransomware: cronograma e surgimento do Eternity Group

June 3, 2022

min

Tabela de conteúdo

Exemplo H2

Pesquisadores: Rishika Desai, Anandeshwar Unnikrishnan

Categoria:

Inteligência do adversário

Indústria:

Múltiplo

Motivação:

Financeiro

Região:

Global

Fonte:

Sumário executivo

AMEAÇAIMPACTOMITIGAÇÃO

Um grupo de agentes de ameaças com motivação financeira, chamado Eternity, está vendendo ativamente worms, ladrões, ferramentas de DDoS e criadores de ransomware.

Os agentes e campanhas de ameaças podem usar esses serviços para obter uma posição inicial, aproveitar privilégios, extrair dados, criptografar valores de resgate, executar ataques sofisticados de engenharia social ou manter a persistência.

Redefina as credenciais de login do usuário comprometidas e implemente uma política de senha forte para todas as contas de usuário.
Implemente configurações de segurança em dispositivos de infraestrutura de rede, como firewalls e roteadores.

CloudSEKda plataforma contextual de risco digital de IA XV Vigília descobriu um grupo de atores de ameaças com motivação financeira, apelidado Eternidade, operando ativamente na internet, vendendo worms, ladrões, ferramentas de DDoS e criadores de ransomware.

L1ghtM4n is suspected to be one of the operators of Eternity Teams — Suspeita-se que L1ghtm4n seja um dos operadores do Eternity Teams

Cronologia do Eternity Ransomware Group

As atividades dos operadores originais do grupo de ransomware Eternity remontam a alguns anos, quando eles operavam ativamente com nomes diferentes (Vulturi Stealer, Jester Malware etc.) em vários fóruns. No entanto, o agente da ameaça original opera no GitHub com o nome de 'L1ghtm4n', que pode ser interpretado como 'Homem da Luz'. O repositório Github mantido por esse ator apresenta vários projetos. Com base na atividade do L1ghtm4n, os pesquisadores da CloudSEK mapearam as atividades que levaram ao desenvolvimento do Eternity Malware.

Análise

O grupo de ransomware Eternity está ativo em vários canais e fornece várias atualizações em todos eles, o que indica que o grupo pode estar operando como um grupo. O criador de ransomware que o grupo vendeu recentemente está ganhando força entre os agentes de ameaças. Os pesquisadores do CloudSEK identificaram um repositório do GitHub por L1ghtm4n, que é suspeito de ser um dos operadores da Eternidade.

Análise técnica do Eternal Ransomware

Recentemente, a equipe de pesquisa de inteligência de ameaças da CloudSEK descobriu uma amostra do ransomware Eternity que criptografa os arquivos e deixa uma nota de resgate.

Operações de pré-criptografia

O ransomware é escrito em C#/.NET, à medida que a inicialização dos dados prossegue para gerar uma senha aleatória que desempenha um papel crucial nas operações criptográficas. A imagem abaixo mostra o processo de iniciação e atribuição de senha a uma variável “senha”.

A função mostrada abaixo é responsável pela geração da senha.

Após a conclusão bem-sucedida da geração da senha, o malware executa a função “Encrypt_pass” para armazená-la com segurança para descriptografia.

A função Encrypt_pass é mostrada abaixo. A cadeia de caracteres da senha é criptografada usando o algoritmo criptográfico RSA. Os parâmetros fornecidos ao algoritmo estão no formato de uma string XML contendo o módulo e o expoente que são exigidos pelo algoritmo.

Curiosamente, após a criptografia da string de senha, o malware codifica os dados criptografados usando o esquema de codificação Base64. Os dados codificados são então armazenados como um arquivo “sendme.eternityraas” no diretório Desktop do dispositivo de destino. Este arquivo é muito importante, pois é necessário para a descriptografia.
Após a criptografia bem-sucedida dos dados do usuário no sistema, o malware instrui o usuário a enviar a cópia do arquivo “sendme.eternityraas” aos atacantes por correio junto com o ID.
Depois de pagar o pedido de resgate de USD 800, o atacante envia a senha recuperada do arquivo “sendme.eternityraas” para o usuário. O malware então inicia o processo de descriptografia.

Processo de criptografia

O malware inicia o processo de criptografia executando a função “start”.
Tanto as unidades locais quanto as de rede são enumeradas pelo malware. De forma iterativa, os arquivos em cada drive são processados para criptografia por meio da execução da função “Ataque”, conforme mostrado na imagem abaixo.

Cada diretório é processado conforme mostrado na imagem abaixo. O malware mantém uma lista muito longa de extensões para criptografia e verifica se a extensão do arquivo processado está na lista ou não. Se o arquivo passar na verificação, o malware selecionará o arquivo para processamento adicional executando a função “processFile”.

Os arquivos com a extensão a seguir serão criptografados pelo malware.

“pdf”, “pps”, “ppt”, “pptm”, “pptx”, “ps”, “psd”, “vcf”, “xlr”, “xls”, “xlsx”, “xlsm”, “ods”, “odp”, “indd”, “dwg”, “dxf”, “kml”, “kmz”, “gpx”, “cad”, “wmf”, “3fr”, “ari”, “arw”, “bay”, “bmp”, “cr2”, “crw”, “cxi”, “dcr”, “dng”, “eip”, “erf”, “fff”, “gif”, “iiq”, “j6i”, “k25”, “kdc”, “mef”, “mfw”, “mos”, “mrw”, “nef”, “nrw”, “orf”, “pef”, “png”, “raf”, “raw”, “rw2”, “rwl”, “rwz”, “sr2”, “srf”, “srw”, “x3"”, “jpg”, “jpeg”, “tga”, “tiff”, “tif”, “ai”, “3g2”, “3gp”, “asf”, “avi”, “flv”, “m4v”, “mkv”, “mov”, “mp4”, “mpg”, “rm”, “swf”, “vob””, “wmv”, “txt”, “php”, “html ”, “tar”, “gz”, “sql”, “js”, “css”, “txt”, “pdf”, “tgz”, “war”, “jar”, “java”, “classe”, “ruby”, “py”, “cs”, “zip”, “db”, “doc”, “xls”, “propriedades”, “xml”, “jpg”, “jpeg”, “gif”, “mov”, “avi”, “wmv”, “mp3”, “mp4”, “wma”, “acc”, “wav”, “pem”, “pub”, “docx”, “apk”, “exe”, “dll”, “tpl”, “psd”, “asp”, “phtml”, “aspx”, “csv”, “sql”, “mp4”, “7z”, “rar”, “m4a”, “wma”, “avi”, “wmv”, “csv”, “d3dbsp”, “zip”, “sie”, “sum”, “ibank”, “t13”, “t12”, “qdf”, “gdb”, “tax”, “pkpass”, “bc6”, “bc7”, “bkp”, “qic”, “bkf”, “sidn”, “sidd”, “mddata”, “itl”, “itdb”, “icxs”, “hvpl”, “hplg”,” hkdb”, “mdbackup”, “syncdb”, “gho”, “cas”, “svg”, “map”, “wmo”, “itm”, “sb”, “fos”, “mov”, “vdf”, “ztmp”, “sis”, “sid”, “ncf”, “menu”, “layout”, “dmp”, “blob”, “esm”, “vcf”, “vtf”, “dazip”, “fpk”, “mlx”, “kf”, “iwd”, “vpk”, “tor”, “psk”, “rim”, “w3x”, “fsh”, “ntl”, “arch00”, “lvl”, “snl””, “cfr”, “ff”, “vpp_pc”, “lrf”, “m2”, “mcmeta”, “vfs0”, “mpage”, “kdb”, “db0”, “dba”, “rofl”, “hkx”, “bar”, “upk”, “das”, “iwi”, “litemod”, “ativo”, “forja”, “ltx”, “bsa”, “apk”, “re4”, “sav”, “lbf”, “slm”, “bik”, “epk”, “rgss3a”, “pak”, “grande”, “carteira”, “wotreplay”, “xxx”, “desc”, “py”, “m3u”, “flv”, “js”, “css”, “rb”, “png”, “jpeg”, “txt”, “p7c”, “p7b”, “p12”, “pfx”, “pem”, “crt”, “cer”, “der”, “x3f”, “srw”, “pepea””, “ptx”, “r3d”, “rw2”, “rwl”, “raw”, “raf”, “orf”, “nrw”, “mrwref”, “mef”, “erf”, “kdc”, “dcr”, “cr2”, “crw”, “bay”, “sr2”, “srf”, “arw”, “3fr”, “dng”, “jpe”, “jpg”, “cdr”, “indd”, “ai”, “eps”, “pdf”, “pdd”, “psd”, “dbf”, “mdf”, “wb2”, “rtf”, “wpd”, “dxg”, “xf”, “dwg”, “pf””, “accdb”, “mdb”, “pptm”, “pptx”, “ppt”, “xlk”, “xlsb”, “xlsm”, “xlsx”, “xls”, “wps”, “docm”, “docx”, “doc”, “odb”, “odc”, “odm”, “odp”, “odt”, “odt”, “odt”,” ods”, “odp”, “odm”, “odc”, “odb”, “doc”, “docx”, “docm”, “wps”, “xls”, “xlsx”, “xlsm”, “xlsb”, “xlk”, “ppt”, “pptx”, “pptm”, “mdb”, “accdb”, “pst”, “dwg”, “dxf”, “dxg”, “wpd”, “rtf”, “wb2”, “mdf”, “dbf”, “psd”, “pdd”, “pdf”, “eps”, “ai”, “indd”, “cdr”, “dng”, “3fr”, “arw”, “srf”, “sr2”, “mp3”, “bay”, “crw”, “cr2”, “dcr”, “kdc”, “erf”, “mef”, “mrw”, “nef”, “nrw”, “orf”, “raf”, “raw”, “rwl”, “rw2”, “r3d”, “ptx”, “pef”, “srw”, “x3f”, “der”, “cer”, “crt”, “pem”, “pfx”, “p12”, “p7b”, “p7c”, “jpg”, “png”, “jfif”, “jpeg”, “gif”, “bmp”, “exif”, “txt”, “3fr”, “accdb”, “ai” , “arw”, “bay”, “cdr”, “cer”, “cr2”, “crt”, “crw”, “dbf”, “dcr”, “der”, “dng”, “doc”, “docm”, “docx”, “dwg”, “dxf”, “dxg”, “eps”, “erf”, “indd”, “jpe”, “jpg”, “kdc”, “mdb”, “mdf”, “mef”, “mrw”, “nef”, “nrw”, “odb”, “odm”, “odp”, “ods”, “odt”, “orf”, “p12”, “p7b”, “p7c”, “pdd”, “pef”, “pem”, “pfx”, “ppt”, “pptm”, “pptx”, “psd”, “pst”, “ptx”, “r3d”, “raf”, “raw”, “rtf”, “rw2”, “rwl”, “srf”, “srw”, “wb2”, “wpd”, “wps”, “xlk”, “xls”, “xlsb”, “xlsm”, “xlsx”, “wb2”, “psd”, “p7c”, “p7b”, “p12”, “pfx”, “pem”, “crt”, “cer”, “der”, “pl”, “py”, “lua”, “css”, “js”, “asp”,” php”, “incpas”, “asm”, “hpp”, “h”, “cpp”, “c”, “7z”, “zip”, “rar”, “drf”, “blend”, “apj”, “3ds”, “dwg”, “sda”, “ps”, “pat”, “fxg”, “fhd”, “fh””, “dxb”, “drw”, “design”, “ddrw”, “ddoc”, “dcs”, “csl”, “csh”, “cpi”, “cgm”, “cdx”, “cdrw”, “cdr6”, “cdr5”, “cdr4”, “cdr3”, “cdr”, “awt g”, “ait”, “ai”, “agd1”, “ycbcra”, “x3f”, “stx”, “st8”, “st7”, “st6”, “st5”, “st4”, “srw”, “srf”, “sr2”, “sd1”, “sd0”, “rwz”, “rwl”, “rw2”, “raw”, “raf”, “ra2”, “ptx”, “pef”, “pcd”, “orf”, “nwb”, “nrw”, “nop”, “nef”, “ndd”, “mrw”, “mos”, “mfw”, “mef”, “mdc”, “kdc”, “kc2”, “iiq”, “cinza”, “cinza”, “cinza”, “fpx”, “fff”, “exf”, “erf”, “dng”, “dcr”, “dc2”, “crw”, “craw”, “cr2”, “cmt”, “cib”, “ce2”, “ce1”, “arw”, “3pr”, “3fr”, “mpg”, “jpeg”, “jpg”, “mdb”, “sqlitedb”, “sqlite3”, “sqlite”, “sql”, “sdf”, “sav”, “sas7bdat”, “s3db”, “rdb”, “psafe3”, “nyf”, “nx2”, “nx1”, “nsh”, “nsh” g”, “nsf”, “nsd”, “ns4”, “ns3”, “ns2”, “myd”, “kpdx”, “kdbx”, “idx”, “ibz”, “ibd”, “fdb”, “erbsql”, “db3”, “dbf”, “db-journal”, “db”, “cls”, “bdb”, “al”, “adb”, “backupdb”, “bik”, “backup”, “bak”, “bkp”, “moneywell”, “mmw”, “ibank”, “hbk”, “ffd”, “dgc”, “ddd”, “dac”, “cfp”, “cdf”, “bpd””,” bgt”, “acr”, “ac2”, “ab4”, “djvu”, “pdf”, “sxm”, “odf”, “std”, “sxd”, “otg”, “sti”, “sxi”, “otp”, “odg”, “odp”, “stc”, “sxc”, “ots”, “ods”, “sxg”, “stw”, “sxw”, “odm”, “oth”, “ott”, “odt”, “odb”, “csv”, “rtf”, “accdr”, “accdt”, “accde”, “accdb”, “sldm”, “sldx”, “ppsx””, “ppam”, “potm”, “potx”, “pptm”, “pptx”, “pps”, “pot”, “ppt”, “xlw”, “xll”, “xlam”, “xlsb”, “xltm”, “xltx”, “xlsm”, “xlsx”, “xlm”, “xlt”, “xls”, “xml”, “dotm”, “dotx”, “docm”, “docx”, “ponto”, “doc”, “txt”, “odt”, “ods”, “odp”, “odm”, “odc”, “odb”, “doc”, “docm”, “wps”, “xls”,” xlsx”, “xlsm”, “xlsb”, “xlk”, “ppt”, “pptx”, “pptm”, “mdb”, “accdb”, “pst”, “dwg”, “dxf”, “dxg”, “wpd”, “rtf”, “wb2”, “mdf”, “dbf”, “psd”, “pdd”, “pdf”, “eps”, “ai”, “indd”, “cdr”, “jpg”, “jpe”, “jpg”, “dng”, “3fr”, “arw”, “srf”, “sr2”, “bay”, “crw”, “crw”, “cr2”, “dcr”, “kdc”, “erf”, “mef”, “mrw”, “nef”, “nrw”, “orf”, “raf”, “raw”, “rwl”, “rw2”, “r3d”, “ptx”, “pef”, “srw”, “x3f”, “der”, “cer”, “crt”, “pfx”, “p12", “p7b”, “p7c

A função “ProcessFile”, conforme mostrado na imagem abaixo, verifica inicialmente se o arquivo selecionado está marcado ou não.

Essa verificação é feita verificando os primeiros 3 bytes do arquivo em busca do marcador “Eth”. Se o arquivo não estiver marcado, a função “ProcessFile” chamará outra função “EncryptFile” para bloquear o arquivo.

Quando se trata de enumeração de diretórios, o malware ignora arquivos nos seguintes diretórios:
- “Todos os usuários\ Microsoft\”
- “$Recycle.Bin”
- “C:\Windows”
- “C:\Program Files”
- “Arquivos temporários da Internet”
- “AppData\”
- “\ fonte\”
- “C:\ProgramData”
- “\ Eternidade\”
A imagem a seguir mostra a função de criptografia de arquivos usada pelo malware. O malware usa o esquema criptográfico AES para bloquear os dados do usuário. Antes de gravar dados criptografados, o malware grava primeiro os bytes do marcador no arquivo, conforme mostrado na imagem abaixo. Os bytes correspondentes a “Eth” são adicionados aos dados criptografados como os 3 bytes iniciais.

Operações pós-criptografia

Após a criptografia, o malware continua executando três funções: “DestroyCopy”,” SetStartup” e “CreateUI”.

Destrua a cópia

Essa função, como o nome sugere, destrói a cópia de backup dos dados via WMI. Conforme mostrado na imagem a seguir, o malware acessa a classe “Win32_ShadowCopy” do WMI e executa o método Delete (). Após a execução de “Excluir”, os dados de backup são excluídos e o usuário é impedido de realizar um backup de dados para restaurar os arquivos bloqueados.

Definir inicialização

Essa função grava “Eternity” como um novo valor em “HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run”, que aponta para o binário do ransomware, conforme mostrado na imagem abaixo. Isso executará o ransomware toda vez que o usuário fizer login no sistema.

A imagem abaixo é o instantâneo do registro da chave de execução após a execução da amostra de malware “sam.exe”.

Criar interface de usuário

Essa função desempenha um papel crucial na operação do ransomware. Ele inicia e inicia um formulário do Windows, conforme mostrado na imagem abaixo. Um formulário do Windows é o elemento de interface do usuário dos aplicativos de desktop. O malware tem uma classe chamada PayM3, que representa o Formulário. A função CreateUI instancia os dados necessários e executa o Formulário.

Depois que o Formulário é executado, um pop-up é gerado conforme mostrado na imagem abaixo. A lógica de decodificação está vinculada a este Formulário. O Formulário iniciará a rotina de descriptografia quando o usuário enviar a senha correta gerada pelo ransomware, conforme mencionado anteriormente. Como esse formulário é fundamental para a decodificação dos dados, o sofisticado ransomware conecta o teclado para que o usuário não feche as janelas, mesmo que acidentalmente.

Ganchos para interceptar a funcionalidade do teclado

O Formulário acima mencionado implanta um gancho de teclado para interceptar eventos no teclado do usuário na função PayM3_load, conforme mostrado na imagem abaixo. As funções de retorno de chamada “LowLevelKeyboardProc” e “SetWindowsHookEx” são usadas para conectar o teclado do usuário. E sempre que o usuário pressiona uma tecla, o sistema executa a função “CaptureKey” fornecida pelo malware. Embora um gancho de teclado seja um mecanismo trivial em spyware e bots, nesse caso, esses ganchos são usados para obter um resultado diferente.

O gancho mostrado na imagem a seguir garante que o usuário não encerre o Formulário de forma explícita ou acidental. O gancho só está interessado em interceptar teclas modificadoras, como as teclas Shift/Alt/CTRL/Windows. Normalmente, os usuários o aproveitam para encerrar um programa à força ou realizar outras tarefas, como abrir o Gerenciador de Tarefas no Windows.

Os operadores do ransomware Eternity usam isso como um recurso à prova de falhas para o malware do adversário. O gancho simplesmente verifica se as teclas pressionadas são teclas modificadoras. Se estiverem, ele simplesmente executa um retorno, garantindo que as teclas pressionadas não sejam registradas pelo sistema.

Após o envio de uma senha válida para o Formulário, ele executa uma função chamada “UndoAttack” que descriptografa os dados bloqueados.

Incidente recente

Recentemente, a equipe de pesquisa de ameaças da CloudSEK descobriu uma amostra do ransomware Eternity que criptografa os arquivos e deixa a nota de resgate.

Ransom note by the Eternity ransomware [Source: Triage] — Nota de resgate do ransomware Eternity [Fonte: Triage]

Para obter a chave de decodificação, a vítima precisa entrar em contato com os seguintes canais de comunicação:

Endereços de contato encontradosTag: RecoverDataU

Correio: [email protected]

Com base na investigação da CloudSEK, esse ransomware é fornecido com Malware Eternity.

Ligações entre L1ghtm4n, Jester e Eternity

Com base em nossa análise técnica, os módulos desenvolvidos e publicados no repositório Github do L1ghtm4n foram obtidos pelo malware Jester.
Os detalhes do L1ghtm4n são os mesmos do canal de comunicação fornecido pela Eternity Team e as habilidades técnicas desse agente de ameaças estão altamente relacionadas ao desenvolvimento de malware.
Todos os tutoriais e dados publicados pelas equipes de malware associadas ao L1ghtm4n também foram compartilhados no idioma russo, indicando a origem do ator da ameaça.
Os pesquisadores da CloudSEK acreditam que existe uma pequena possibilidade de o programa de recrutamento para estagiários que falam diferentes idiomas durante o treinamento de virologia ter sido um dos exemplos a partir dos quais a Eternity poderia ter sido formada.
Os anúncios de Eternity, Jester, Lilith e Merlyn seguem uma abordagem semelhante de rabisco artístico, que é outra observação que ajuda a sugerir, com confiança moderada, uma possível conexão entre eles.

Impacto e mitigação

ImpactoMitigação

As credenciais roubadas por meio de um malware ladrão podem permitir que outros agentes de ameaças tenham acesso às redes da organização.
As informações de identificação pessoal (PII) expostas podem permitir que os agentes de ameaças orquestrem esquemas de engenharia social, ataques de phishing e até mesmo roubo de identidade.
Como a reutilização de senhas é uma prática comum, os agentes de ameaças podem aproveitar as credenciais expostas para obter acesso às outras contas dos usuários.
Os detalhes confidenciais expostos por meio de atividades de ransomware podem revelar práticas comerciais e propriedade intelectual.

Use inteligência proativa contra ameaças para evitar ataques iminentes. XVIII Vigília da CloudSEK vasculha a Internet, alerta os usuários sobre possíveis ameaças e ajuda a fortalecer sua postura de segurança externa.
Redefina as credenciais de login do usuário comprometidas e implemente uma política de senha forte para todas as contas de usuário.
Verifique possíveis soluções alternativas e patches enquanto mantém as portas abertas.
Use MFA (autenticação multifator) em todos os logins.
Corrija todos os endpoints vulneráveis e exploráveis.
Monitore anomalias, em contas e sistemas de usuários, que possam ser indicadores de possíveis aquisições.