Categoria: Inteligência de malware

Motivação: Financeiro

Região: Global

Fonte*:

C: Bastante confiável

1: Confirmado por fontes independentes

‍

Sumário executivo

Em 23 de outubro de 2023, CloudSEKA equipe de inteligência de ameaças da Detectou um grupo de Ransomware-as-a-Service (RaaS), chamado QBit, introduzindo um ransomware recém-desenvolvido escrito em Go, com recursos avançados para otimizar suas operações maliciosas. O ransomware tem como alvo o Windows (do Windows 7 ao Windows 11, incluindo x32 e x64) e várias distribuições Linux (CentOS, Ubuntu, Linux Mint, Endeavour OS, Fedora) em versões de 64 bits e a variante ESXi está em desenvolvimento. O criptografador foi empacotado usando UPX.

‍

Ransomware as a Service (RaaS) é um modelo de negócios criminoso em que indivíduos ou grupos de cibercriminosos criam e distribuem ransomware para outros agentes maliciosos, geralmente por uma taxa ou uma porcentagem dos lucros. O RaaS permite que indivíduos menos qualificados tecnicamente se envolvam em crimes cibernéticos e lancem ataques de ransomware.

Com vários esquemas de criptografia, o criptografador também pode interromper serviços e encerrar processos que possam interferir na criptografia de arquivos.

O agente de ameaças também oferece um programa separado chamado File Stealer, projetado para exfiltrar arquivos para uma plataforma de compartilhamento de arquivos on-line chamada mega [.] nz.

‍

Análise e atribuição

Os principais recursos e ofertas deste ransomware são os seguintes, conforme afirmado pelo agente da ameaça:

• Concorrência eficiente: Utilizando os recursos do Go, esse ransomware promete uma execução mais rápida, menores taxas de detecção e maior versatilidade.

• Compatibilidade entre plataformas: O ransomware foi testado no Windows (do Windows 7 ao Windows 11, incluindo x32 e x64) e em várias distribuições Linux (CentOS, Ubuntu, Linux Mint, Endeavour OS, Fedora) em versões de 64 bits.

• Variante ESXi: Uma variante do ESXi é mencionada como estando nos estágios iniciais de desenvolvimento, indicando uma possível expansão no ambiente de virtualização.

• Construções exclusivas: O ransomware gera compilações exclusivas para cada operação, reduzindo o risco de detecção e eliminando a necessidade de um criptador.

• Características principais: O ransomware oferece criptografia rápida usando uma lógica híbrida (Salsa 20 + RSA 2048), vários modos de criptografia (completo, parcial e inteligente), execução oportuna, binários obscurecidos, técnicas de anti-análise, syscalls diretas, multithreading e uma ferramenta de decodificação.

• Personalização: O agente de ameaças oferece opções de personalização, incluindo injeção de código de shell antes da execução, exfiltração de arquivos e coleta personalizada de informações sobre o sistema de destino, tudo sem nenhum custo adicional.

‍

‍

‍

Após um exame mais detalhado da postagem, nossa fonte descobriu um nível significativo de interesse de vários agentes de ameaças. Notavelmente, algumas pessoas expressaram curiosidade sobre o acordo de participação nos lucros. Em resposta, o autor original (OP) revelou que a divisão está fixada em 85/15, o que significa que 85% dos lucros são alocados ao afiliado, enquanto os 15% restantes são retidos pelo provedor de Ransomware as a Service (RaaS).

‍

‍

Análise de suas funcionalidades

O malware (criptografador) foi compactado usando um conhecido empacotador de código aberto conhecido como UPX. Antes de descompactar, o tamanho do malware era de 1,4 MB com um nível de entropia de 8. Ao descompactar o binário, o malware se expandiu para um tamanho de 4,92 megabytes. Ao escrever isso, não houve casos relatados dessa cepa específica no VirusTotal.

‍

Durante a execução, o binário apresenta aos usuários várias opções, como:

• -string de ativação: é definido pelo usuário para especificar uma data e hora específicas em que o binário será executado.

• -registro: essa opção permite que o usuário exiba mensagens de log na interface do usuário.

• - cadeia de caracteres do método: Permite que você especifique o método de criptografia. As opções incluem “completo”, “parcial” ou “inteligente” (o padrão é “completo”).

• -nobo: Se essa opção for usada, o programa não alterará o papel de parede da área de trabalho durante sua operação.

• -modelo: Se fornecido, o programa não executará a autodestruição após a conclusão do processo de criptografia.

• -não mutex: Desativa o Mutex. Quando definido, o programa pode executar várias instâncias simultaneamente.

• -passagem de caracteres: requer uma senha para executar o programa.

• -string de caminho: especifica os caminhos a serem criptografados, separados por vírgulas. Se não for fornecido, o programa criptografará todas as unidades lógicas de A a Z.

• -stopserv: interrompe serviços e encerra processos que podem interferir na criptografia de alguns arquivos. Essa ação normalmente requer privilégios de ADMIN ou SYSTEM.

• -thread int: permite que você defina o número de segmentos para processamento (o padrão é 4).

‍

‍

‍

Ao executar o ransomware usando,”Encryptor.exe -log -pass=01 -método=inteligente”, obtemos o seguinte pop-up:

‍

‍

O esperto O método usa tecnologia intermitente para acelerar a velocidade da criptografia, o que significa que ele criptografa apenas certas partes do arquivo/dados.

‍

Os arquivos, zip e aplicativos foram criptografados com um .660 extensão que é calculada com base no GUID (Identificador Único Global), um identificador exclusivo de 128 bits gerado pelo sistema operacional (SO) ou aplicativos para identificar de forma exclusiva recursos, objetos, componentes ou outros itens no ambiente Windows. Essa extensão permanece constante para o sistema operacional de um usuário específico.

Como as extensões geralmente têm três letras, foram usados os três primeiros caracteres do GUID da máquina da vítima, conforme retratado acima. Isso é significativo porque os mesmos caracteres de 4 dígitos foram usados para nomear o arquivo de imagem descartado no diretório temporário, conforme mencionado abaixo.

‍

Após a execução bem-sucedida do criptografador, conseguimos identificar o arquivo descartado chamado 6609.jpg no diretório Temp.

‍

O ransomware procura as seguintes extensões de arquivo para criptografar: com, exe, bat, cmd, vbs, vbe, js, jse, wsf, wsh, msc.

‍

‍

A seguir está o exemplo de arquivo “readme-recover.txt” que caiu na área de trabalho da vítima.

‍

‍

‍

O grupo Qbit também oferece o seguinte:

‍

• Metodologias avançadas de phishing para atacar diferentes organizações que são oferecidas como um pacote opcional com uma taxa extra.

• Eles têm um programa separado chamado File Stealer, que eles anunciaram em fóruns clandestinos no passado. Ele pode ser usado para exfiltrar grandes quantidades de arquivos para a unidade mega.nz por padrão.

Eles também fornecem uma solução personalizada para que os arquivos sejam diretamente exfiltrados para o RDP/VPS preferido do agente de ameaças, em vez de mega [.] nz.

‍

‍

‍