Malware Intelligence

O que é o ransomware Redeemer e como ele se espalha: uma análise técnica

September 2, 2022

min

Tabela de conteúdo

Exemplo H2

Autor: Mehardeep Singh Sawhney
Editora: Benila Susan Jacob

Pesquisas indicam que um ataque de ransomware ocorre a cada 11 segundos, o que significa aproximadamente 3 milhões de ataques ao longo do ano. Os ataques de ransomware não são mais eventos reservados. As empresas estão em constante ameaça à receita, aos dados, à marca, à imagem e à subsequente paralisação dos negócios.

Redentor o ransomware foi identificado inicialmente em junho de 2021 e, desde então, quatro versões públicas (1.0, 1.5, 1.7 e 2.0) foram lançadas. Este artigo contém a análise técnica do ransomware Redeemer e seus vários recursos.

Evolução do Redeemer Ransomware 2.0

O ator da ameaça, Cerebrate operando em um fórum de crimes cibernéticos chamado Pavor tem promovido ativamente o ransomware Redeemer. Recentemente, eles começaram a operar no fórum Bached e lançaram sua versão mais recente (versão 2.0) no mesmo.

O Redeemer passou por quatro mudanças de versão desde setembro de 2021. A versão mais recente inclui recursos gráficos aprimorados, como uma interface de criação de GUI, uma alteração de ícone para arquivos criptografados, uma lista detalhada de instruções etc. O agente da ameaça também afirma ter adicionado suporte ao Windows 11, além de algumas alterações criptográficas na versão mais recente. A imagem abaixo descreve os recursos adicionados a cada versão do ransomware Redeemer.

Modus Operandi

Usando o executável do construtor, o atacante cria um executável de ransomware.O atacante especifica um arquivo de chave privada RSA, endereço de e-mail para contato, quantidade de XMR e a opção de desativar o 'melt', se um criptografador estiver sendo usado para criptografar o ransomware. A ativação do 'melt' fará com que o executável do ransomware se exclua e se mude para um diretório aleatório no sistema e seja executado a partir daí em um estado oculto.Usando a opção Gerar par de chaves, uma chave privada RSA é gerada e enviada ao autor do malware (Cerebrate) junto com a chave pública criptografada gerada pelo executável do ransomware. A chave pública é recebida da vítima.O autor do malware (Cerebrate) compartilhará a chave mestra somente após receber 20% do valor do resgate coletado. Assim, a vítima só pode descriptografar seus arquivos quando 20% do pagamento do resgate for feito pelo atacante afiliado.

Leitura relacionada Análise técnica do emergente e sofisticado grupo de ransomware Pandora

Detalhes do Ransomware

Este Ransomware foi escrito em C ++ e vem com um executável de construtor e decodificador.
Ele usa os seguintes algoritmos de criptografia:
- O AES256 é usado para criptografar os arquivos no computador da vítima
- O RSA é usado para criptografar a chave
O ransomware se clona com o nome de um arquivo executável do sistema (por exemplo. conhost.exe) e cria uma pasta oculta para si mesma no diretório do Windows.
Ele encerra todos os processos e executáveis em execução que podem representar uma ameaça à rotina de criptografia.
Ele exclui todas as cópias de sombra dos arquivos e limpa todos os registros de eventos e aplicativos usando wevtutil, vssadmin, e administrador.
Ele usa multithreading para enumerar o sistema de arquivos e criptografar arquivos. Ele cria 35 threads diferentes que apontam para a mesma rotina de criptografia.
Ele também modifica o valor do registro Winlogon e o configura para exibir a nota de resgate. Assim, quando um usuário faz login na máquina, a nota de resgate é exibida.

Análise técnica

Assinatura de ransomware

A assinatura desse executável nos mostra que ele está escrito em C ++. Ao conduzir a análise de strings, várias strings codificadas em Base64 foram observadas, algumas das quais são decodificadas para a chave pública usada para criptografia e comandos do PowerShell. Ao decodificar uma dessas sequências, a seguinte tradução foi obtida: 'Redeemer Ransomware — Seus dados estão criptografados'.

Signature of the executable file indicating that it is written in C++ — Assinatura do arquivo executável indicando que ele está escrito em C++

An encoded ransomware string — Uma string de ransomware codificada

Estágio I — Operações de pré-criptografia

Criação de mutex

Após a execução, o Redeemer primeiro oculta a janela do console usando uma chamada para o Mostrar janela API do Windows. Em seguida, ele cria um Mutex, chamado de Redemer Mutex, para garantir que várias instâncias do ransomware não estejam sendo executadas no mesmo sistema.

Code for hiding the process window and creation of the Mutex — Código para ocultar a janela do processo e criar o Mutex

Codificação de strings

Uma chave pública RSA, o valor do resgate e o ID de e-mail de contato são então carregados como valores Base64 na memória e decodificados para uso posterior. Este Ransomware usa fortemente o Base64 para fins de codificação de strings.

Code for loading and decoding Base64 values, and storing them for later use — Código para carregar e decodificar valores de Base64 e armazená-los para uso posterior

Etapa II — Preparação para a criptografia

O segundo estágio do ransomware é ditado pela transferência do controle para uma seção lógica específica que é controlada pelo valor da contagem de argumentos. Isso é feito movendo-se com um nome diferente de um diretório mundial gravável conforme mostrado na imagem abaixo.

The list of random executable and directory names — A lista de nomes de diretórios e executáveis aleatórios

É gerada uma nova instância que faz a criptografia. O nome do processo recém-gerado será escolhido aleatoriamente na lista mostrada na imagem acima. A análise completa do processo é abordada na seção a seguir:

O ransomware escolhe aleatoriamente o diretório e os nomes dos executáveis usando a lógica mostrada abaixo. Ele também define os atributos do diretório como ocultos usando o Definir atributos do arquivo API do Windows. Nesse caso, o diretório selecionado é C:\Windows\SQL e o nome do executável é taskmgr.exe.

Logic for determining the file and folder name combination — Lógica para determinar a combinação do nome do arquivo e da pasta

Agora, o ransomware executa sua cópia usando o Shell Execute W API do Windows, enquanto segue o caminho para o antigo exe como argumento. Isso é feito para excluir sua cópia antiga e continuar sendo executado como um executável de sistema impostor, o que iniciará a criptografia.

Executing the new executable while accepting the old one as an argument — Executando o novo executável enquanto aceita o antigo como argumento

A rotina para enumeração e criptografia de diretórios começará somente depois que a condição do argumento acima for atendida. Uma verificação é implementada para o mesmo contando o número de argumentos passados para o executável.

Code for checking the arguments and deleting the original executable if criteria is met — Código para verificar os argumentos e excluir o executável original se os critérios forem atendidos

O novo executável então executa o Utilitário de eventos do (wevtutil) comandos usando CMD para limpar registros de eventos importantes. O vssadmin e administrador os comandos são usados para excluir todas as cópias de sombra, catálogos de backup e backups do estado do sistema, a fim de impossibilitar a recuperação de arquivos.

Commands executed to clear event logs and delete shadow copies — Comandos executados para limpar registros de eventos e excluir cópias de sombra

O ransomware encerra executáveis e serviços (incluindo aplicativos de segurança) que podem impedir as operações de criptografia. O código para isso é codificado no programa como strings Base64, que são decodificadas usando o taskkill e ponto líquido comandos. (Consulte o Lista de executáveis e serviços encerrados pelo ransomware)

Commands used to terminate executable and services which might hinder encryption — Comandos usados para fechar executáveis e serviços que podem impedir a criptografia

O ransomware também edita o Software\\ Microsoft\\ Windows NT\\ Versão atual\\ Winlogon</forte> chave de registro, edição ou Legenda do aviso legal e Texto de aviso legal valores e os definem como nota de resgate. Assim, quando um usuário faz login, a nota de resgate é exibida.
O ransomware também cria uma lista de exceções para não criptografar o seguinte:
- Diretórios do sistema e do sistema operacional
- Ransomware Redeemer (ou seja, ele próprio)
- Nota de resgate
- Arquivos já criptografados

Code highlighting the skipped extensions and files — Código destacando extensões e arquivos ignorados

Relacionado YourCyanide: Uma investigação sobre o ransomware 'The Frankenstein' que envia cartas de amor repletas de malware

Criptografia

O Redentor é capaz de enumerar e criptografar arquivos locais e unidades conectadas à rede.

The encryption loop — O ciclo de criptografia do ransomware

Ele enumera as unidades locais usando o seguinte Obtenha unidades lógicas APIs do Windows:

Para os arquivos locais, ele usa SHGetFolderPath
Para ativos de rede, ele usa Recurso NetEnum.

Ele executa essas operações usando um loop com Encontre o primeiro arquivo e Encontre o próximo arquivo.

Enumeration of local and network files and folders — Enumeração de arquivos e pastas locais e de rede

Você deve notar que este ransomware usa multithreading para criptografia, o que a torna eficiente em termos de uso da CPU. Ele cria 35 segmentos diferentes, cada um apontando para a rotina de criptografia.

Screenshot of the threads created by Redeemer — Captura de tela de dois tópicos criados pelo Redentor

Ele inicializa a nota de resgate em Base64 e grava o valor decodificado em um arquivo chamado Leia Me.TXT. Os arquivos criptografados são salvos com o .resgatar extensão.

Screenshot of encrypted file names — Captura de tela de nomes de arquivos criptografados

Coleção Ransom

Quando um arquivo criptografado é clicado pelo usuário/vítima, a próxima mensagem é exibida.

Screenshot of the message displayed upon opening an encrypted file — Captura de tela da mensagem exibida ao abrir um arquivo criptografado

O arquivo ReadMe.TXT contendo a nota de resgate é exibido na imagem abaixo.

Screenshot of the ransom note (Read Me.TXT) — Captura de tela da nota de resgate (Leia Me.TXT)

Para descriptografar seus arquivos, as vítimas devem pagar o valor do resgate exigido em Monero.
Depois que o pagamento do resgate é verificado, a vítima recebe uma ferramenta de criptografia e uma chave que permite restaurar seus arquivos.

Leia também Análise e atribuição do Eternity Ransomware: cronograma e surgimento do Eternity Group

Lista de executáveis e serviços encerrados pelo ransomware

Executáveis a serem encerrados 1cv4.exe infopath.exeocautoupds.exesteam.exe1cv5.exe é qlplussvc.exeocomm.exesynctime.exe1cv6.exembamtray.exeocssd.exetbirdconfig.exe1cv7.exemongod.exeonenote.exethebat.exe1cv8.exe Exemsaccess.exeoracle.exe thebat64.exe agntsvc.exemsftesql.exeOutlook.exeThunderbird.execntaosmgr.exemspub.exepccntmon.exeTmListen.exeCode.ExeMyDesktopQos.exePostgres.exeVisio.exedbeng50.exeMyDesktopService.exe pnt.exewinword.exedbsnmp.exeMySQLD-NT.exeSQBCoreService.exeWordPad.exeDevenv.ExeMySQLD-Opt.exeSQLAgent.exeFSSVCCon.exeEncSvc.ExeSQLBrowser.exezoolz.exeExcel.exenotepad++. exesqlservr.exefirefoxconfig.exentrtscan.exesqlwriter.exe

Serviços a serem encerrados ArsmepSecurityServiceMendpointAgentMSSQL$TPSMSSQLServerACRSCH25VCEUpdateServiceMSExchangesESMSSQL$TPSAMSSQLServerAdHelperAcronisAgenteshasRVMSExchangeisMSSQLSveeAMSSQLServerAdHelper100 acronisAgenteshasrVMSExchangeisMSSqlServerAdHelper100 acronisAgenteshasrVMSExchangeisMSSqlServerAdHelper100acronisAgenteshasrVMSExchangeisMSSqlServerAdHelperAcronisAgenteshasrVMSExchangeisMSSqlServerAdHelper VMS Exchange MGMTMSQL 2008 R2 MS SQL Server OLAP Service Antivirus Enterprise Client Service MS Exchange MTAM SQL 2012 McAfee Engine Service Backup ExecAgent Accelerator Eraser SVC 11710 MS Exchange Samssql FD Launcher McAfee FD Launcher McAfee FdLauncher McAfee Framework Backup ExecAgent Browser SGSH Kernel MS Exchange RSMSSQLFDLauncher$profxEngagementMCShieldBackup ExecDeviceMediaServiceFA_SchedulerMSOLAPSSSQL_2008 mssqlfdlauncher$sbsmonitoringmctaskmanagerbackupExecJobEngineIISadminmsolapssystem_bgcmssqlfdlauncher$sharepointmsdtsserver BackupExecManagement Service IMAP4svcmsolap$tpsmssqlfdlauncher$sql_2008msdtsserver 100 BackupExecRPC Service K SaveSMSOLAP$TPSAMAMSSQLFDLauncher $SYSTEM_BGCMSDTSServer110 BackupExecVSSProviderKAVFSGTMSSQL$BKUPExecMSSQLFDLauncher $TPSMYSQL57DCAgentMBAMServiceMSSQL$BKUPExecMSSQLFDLauncher $TPSAMYSAMYM QL80NetMSMGActivatorSMTPSVCSqlAgent$sqlExpressSQLWriterSophoHealth Service Oracle ClientCache80snacsqlAgent$sql_2008 SQLSafeBackupServicesOPhosmcsAgentPDVFSServicesqlAgent$BKUPExecSQLAgent$system_BGCSQLSafeFilterServicesOPHOSMCSClientPOP3SVCSQLAgent$CITRIX_MetaframeSQLAgent$TPSSAMSSSophosMessageRouterResvcSQLAgent$CXDBSQLAgent$tpsSamssSophosMessageRouterResvcSQLAgent$CXDBSQLAgent$tpsSamssSophosMessageRouterResvcSQLAgent$CXDBSQLAgent$tpsSamssSophosMessageRouterResvcsqlagent$cxdbsqlagent$tpssamssophosPSAMASEPMasterServiceSophosSafeStoServiceReportServer RSQLAgent$ECWDB2SQLAgent$veeamSQL2008R2SH MonitorsMcServicesophosSystemProtectionServiceReportServer$SQL_2008SQLAgent$veeamsql2012smcinstsophosWebControlServiceReportServer $system_bgcsqlAgentsPractticemgtSQLBackupsSntpServicesstpsvcReportServer$tpssqlAgent$ ProdSQLBrowserSophosAgentSymantec SystemRecoveryReportServer$tpsamasqlagent$profxengagementSolServerAgentSophosAutoUpdateServiceTmccsfsavadminServicesqlAgent$sbsMonitoringSQLSafeOLRServiceSophosClean Service TrueKeysavServicesqlAgentsSharePointSQL Telemetrice ySophosDeviceControlServiceTrueKeySchedulersDrSvcSQLAgent$SophosSQLTelemetry$ECWDB2Sophos FileScannerServiceTrueKeyServiceHelperUI @DetectVeeamMountsvcekrnmozyprobackupswi_updateVeeamBackupCatalogDataServiceVeeamNFSSvckayfsslpmsftesql $PRODSWI_UPDATE_64 Veeam BackupsvcveeamBrokersvcveeamrestsvcklnagentntrtscantmListenVeeamCloudsVcveeamTransportsvcMnsvcMNSvcsacSvrwbEngineVeeamimploysvcw3svcmasvcsophossVeeamDeploymentService WRSvcmfeFiresvcgenerysvcw3svcmasvcsophossVeeamDeploymentService WrsvcmfeFiresvcmasvcsopSveeamDeploymentService WRSvcmfeFiresvcmasvcSopSveeamDeploymentService WRSvcmfeFiresvcmasvcsopSveeamDeploymentService ichost Veeam Enterprise Managers VCZOOLZ2 Service MFEMMSSWI_FILTER VeeamHV Integrations VCBEDBGMFEVTPSWI_Service