Um Guia X-Labs sobre Ransomware e Como Ele Funciona

No Relatório de Defesa Digital 2024 da Microsoft, foi observado que ataques de ransomware aumentaram 2,75 vezes em comparação a 2023. E está claro que essa tendência não irá desacelerar tão cedo — a Cybersecurity Ventures estima que o ransomware poderá custar às organizações US$ 265 bilhões anuais até 2031.

O que é Ransomware?

Ransomware é um tipo de software malicioso que criptografa os dados da vítima, tornando-os inacessíveis até que um resgate seja pago, geralmente em criptomoedas. Hackers favorecem o ransomware devido ao seu alto retorno sobre o investimento, explorando medidas de segurança fracas para exigir pagamentos que frequentemente custam milhões às organizações. Eles utilizam a dupla extorsão, ameaçando vazar dados sensíveis caso as demandas não sejam atendidas, ampliando ainda mais a pressão.

As tendências mostram que os ataques de ransomware estão cada vez mais mirando infraestruturas críticas, utilizando técnicas avançadas como ataques do tipo "living off the land", frequentemente empregando malwares aprimorados com inteligência artificial. Além disso, plataformas de ransomware-as-a-service (RaaS) permitem que criminosos menos habilidosos participem do cenário de ameaças.

Dada essa escalada, a equipe X-Labs decidiu aproveitar a oportunidade para escrever um post prático que mostra como os ataques de ransomware funcionam. Para este post, analisaremos um ataque que se assemelha ao ransomware Maze. Esse ataque é geralmente entregue por meio de um anexo em VBScript enviado via e-mail. Assim como o Maze ransomware, ele utiliza uma técnica de criptografia AES e criptografa arquivos com extensões aleatórias, usadas para deixar uma nota de resgate.
 

Fig. 1 - Cadeia de ataque

Aqui está um exemplo do e-mail de isca:

Fig. 2 - E-mail de isca

O VBScript dá início ao ataque:

Fig 3- VBScript

Após a execução, o VBScript segue os seguintes passos:

• Cria a pasta C:\WinXRAR.
• Abre um arquivo PDF se passando por Old Mutual, que está limpo.
• Faz o download de Crawl[.]exe e Bootxr[.]exe para a pasta criada a partir de 45.125.67[.]168.
• Após o download, executa os arquivos usando o comando PowerShell cmd /c.
• Exclui o arquivo.
   

Fig. 4 - PDF de isca

Aqui está uma visão da pasta criada:

Fig. 5 - Pasta criada

Análise de Crawl[.]exe

O arquivo Crawl[.]exe é baixado e executado quando o PDF de isca é exibido. Abaixo está uma breve análise de Crawl[.]exe.

A análise estática do arquivo nos fornece muito mais informações sobre o comportamento do mesmo. Ao analisar as strings no PE Studio, abaixo estão algumas importações e strings notáveis que indicam que o arquivo é malicioso:

Algumas strings notáveis:

• CreateToolhelp32Snapshot
• \wmic[.]exe
• \Decryptfiles[.]txt
• SleepEx
• BCryptGenRandom
• RegOpenKey
• RegCloseKey
• Shadow copy delete

Isso nos leva a algumas importações suspeitas notáveis:

Fig. 6 - Arquivos de importação suspeitos

Aqui está onde as strings revelam a nota de resgate:

Fig. 7 - Nota de resgate

Além disso, o arquivo também encerra vários processos, conforme mostrado na seção destacada abaixo em Fig. 8.

Fig. 8 - Encerrando vários processos

Esses incluem alguns dos processos importantes mencionados abaixo, além de outros processos relevantes:

• taskkill/
• Avpmapp.exe
• Cmd.exe
• K7TSecurity.exe
• K7AVScan.exe
• av_task.exe
• FilMsg.exe
• FilUp.exe

De agora em diante, vamos avançar para uma análise mais profunda do arquivo.

A visão no IDA mostra várias instruções e múltiplas técnicas anti-VM usando IsDebuggerPresent.

Fig. 9 - Técnica anti-VM IsDebuggerPresent

Quando esse arquivo é executado em uma máquina virtual (VM), ele cria múltiplos threads realizando multithreading antes de executar o malware, o que auxilia na rápida criptografia de arquivos. Isso é alcançado pela API do Windows “CreateThread”. Aplicamos um ponto de interrupção no processo CreateThread e, a cada vez que ele era ultrapassado, novos threads eram criados. Antes de seguir para o próximo ponto de interrupção, o arquivo cria 106 threads.

Se não definirmos um ponto de interrupção em CreateThread, ele criará threads e realizará a execução.

Fig. 10 - Criação de múltiplos threads

Em seguida, colocamos um ponto de interrupção em IsDebuggerPresent, para interromper o processo:

Fig. 11 - Alterações no registro e execução do malware

Alterações no registro são feitas em HKLM\System\CurrentControlSet\Control\Cryptography\Provider, modificando o valor do tipo de criptografia. Aqui, é realizada a criptografia AES. Toda vez que uma pasta ou arquivo é criptografado, o valor é obtido das entradas no registro e uma extensão aleatória de 4 caracteres é adicionada aos arquivos.
 

Este ransomware também exclui backups de arquivos do Windows usando comandos ofuscados e exclusão de sombras:  “c:\AsicvR\Asic\..\..\Windows\Asic\Asic\..\..\system32\Asic\Asic\..\..\wbem\Asic\Asicv\..\..\wmic.exe shadowcopy delete”

O arquivo também se exclui após a execução ser concluída usando o comando abaixo:

“cmd.exe /C ping 1.1.1[.]1 -n 1 -w 3000 > Nul & Del /f /q \"%s\"", Filename”

Fig. 12 - O arquivo se exclui após realizar alterações

Fig. 13 - Alterações no registro e criptografia de arquivos

Criptografia de arquivos:

Fig. 14 - Realizando a criptografia de pastas/arquivos

O ransomware criptografa fotos, vídeos e documentos, deixando arquivos executáveis e DLLs intactos. Após a conclusão da criptografia, ele deixa um arquivo chamado Decryptfiles.txt em cada pasta e subpasta, criptografando os tipos de arquivos mencionados acima com uma extensão aleatória de quatro caracteres. O comportamento é semelhante ao ransomware Maze, que esteve ativo de 2019 a 2020.

Fig. 15 - Arquivos criptografados

Fig. 16 - Nota de resgate (primeira parte)

Fig. 17 - Mais detalhes da nota de resgate

Campanhas de ransomware como esta começam com um VBScript anexado a um e-mail que atrai o usuário a visualizar um documento. Assim que o usuário abre o documento e executa o VBScript, é exibido um PDF direcionado ao Old Mutual, um serviço financeiro africano. O PDF é apenas um disfarce. Uma vez aberto, o anexo chama um script PowerShell que cria uma pasta e baixa dois arquivos de um endereço IP—um sendo um minerador e o outro, um arquivo de ransomware. O arquivo de ransomware é executado automaticamente em segundo plano, criptografando documentos importantes, fotos e vídeos. Quando o usuário fecha o PDF, o sistema já está infectado pelo ransomware, deixando um arquivo de texto chamado Decryptfiles.txt, que solicita ao usuário o pagamento do resgate para desbloquear os arquivos.

Declaração de proteção

Os clientes da Forcepoint estão protegidos contra essa ameaça nas seguintes etapas do ataque:

• Etapa 2 (Atração) – Anexos VBS maliciosos associados a esses ataques são identificados e bloqueados.
• Etapa 3 (Redirecionamento) – URLs bloqueadas que realizam downloads de cargas adicionais.
• Etapa 5 (Arquivo Dropper) – Os arquivos dropper são adicionados ao banco de dados malicioso da Forcepoint e bloqueados.
• Etapa 6 (Call Home) – Credenciais de e-mail bloqueadas.
   

IOCs