Cyble — BlackBit Ransomware: Mối đe dọa từ bóng tối của LokiLocker

Published by TUNGTEK Tùng 🌥️,

Clip source: Cyble — BlackBit Ransomware: Mối đe dọa từ bóng tối của LokiLocker

BlackBit Ransomware: Mối đe dọa từ bóng tối của LokiLocker

Ngày 3 tháng 5 năm 2023

Mối đe dọa ngày càng tăng của các tập đoàn ransomware nhỏ

Trong những năm gần đây, các hoạt động ransomware đã nổi lên như một chương trình tội phạm mạng có lợi nhuận cao. Nhiều công ty đã phải chịu đựng thất bại lớn về tài chính, dữ liệu và danh tiếng do những cuộc tấn công như vậy. Thông thường, các nhà nghiên cứu một mạng ninh có xu hướng tập trung vào các nhóm ransomware nổi bật chạy phần mở rộng hoạt động Ransomware-as-a-Service (RaaS). Nhóm này thường bao gồm các nhà phát triển và tội phạm mạng có tay nghề cao, thậm chí đôi khi vẫn nhận được sự hỗ trợ từ các tổ chức được nhà nước hỗ trợ.

Sự phong phú của kỹ thuật thông tin về hoạt động của ransomware đã dẫn đến sự xuất hiện của những kẻ mới tham gia vào lĩnh vực này. Mặc dù thiếu blog bị rò rỉ dữ liệu hoặc tham gia vào khối lượng lớn hoạt động, các nhóm này đang phát triển công cụ và phát triển chiến thuật của mình để bảo vệ mục tiêu vào các tổ chức lớn hơn mà không nhận được nhiều sự thật quan tâm từ các chuyên gia an ninh mạng.

Phòng thí nghiệm nghiên cứu và thông minh Cyble (CRIL) đã tìm thấy một biến thể tương tự của ransomware, BlackBit. Vào tháng 9 năm 2022, ransomware BlackBit lần đầu tiên được phát hiện. Việc không có bất kỳ hoạt động nào trên trang web rò rỉ ý nghĩa rằng phần mềm ransomware hiện không trích xuất dữ liệu từ hệ thống nạn nhân. Chúng tôi nghi ngờ rằng nó có thể vẫn đang ở giai đoạn đầu hoạt động.

AhnLab gần đây đã xuất bản một bài báo chỉ ra rằng phần mềm ransomware đặc biệt này đang được phân phối ở Hàn Quốc. BlackBit Ransomware là một ransomware biến thể được LokiLocker hoạt động trên RaaS cấu hình. Mã nguồn của BlackBit cho thấy ransomware là bản sao của LokiLocker với một số thay đổi về mặt thẩm mỹ như biểu tượng, tên, cách phối màu, vv

BlackBit ransomware là một phức tạp phức tạp với nhiều khả năng thiết lập tính bền vững, trốn tránh phòng thủ và làm suy yếu khả năng phục hồi. Ngoài ra, nó còn kết hợp ba phương pháp riêng biệt để hiển thị thông tin thanh toán cho nạn nhân. Phương pháp này bao gồm bỏ ghi chú đòi tiền chiến, hiển thị cửa sổ bật lên khi nạn nhân cố gắng mở các tệp được mã hóa và hiển thị trang HTA qua mshta.exe.

Chi tiết kỹ thuật

Tệp nhị phân ransomware mà chúng tôi đã phân tích là tệp thực thi 32 bit được xây dựng bằng trình biên dịch .NET và được bảo vệ bằng .NET Reactor. Tệp này có tên là "svchost.exe" và có hàm băm SHA256 là 1d2db070008116a7a1992ed7dad7e7f26a0bfee3499338c3e603161e3f18db2f . Ngoài việc được đóng gói, ransomware còn sử dụng các chức năng ảo và kỹ thuật đa luồng để thực hiện quá trình phân tích phức tạp.

Thông tin bổ sung về BlackBit Ransomware tệp được cung cấp trong hình bên dưới.


Hình 1 – Chi tiết tĩnh của BlackBit Ransomware có thể thực thi

Tắt công tắc

Khi phần mềm ransomware được thực thi, trước tiên nó sẽ kiểm tra bố cục bàn phím của hệ thống nạn nhân bằng cách sử dụng killswitch. Nếu ngôn ngữ hệ thống được xác định là tiếng Ba Tư thì ransomware sẽ tự chấm dứt. Tuy nhiên, nếu ngôn ngữ không phải là tiếng Ba Tư, phần mềm ransomware sẽ tiếp tục các hoạt động tiếp theo. Hình bên dưới cho thấy ransomware đang so sánh ngôn ngữ hệ thống với ngôn ngữ "Persian".


Hình 2 – BlackBit Ransomware KillSwitch

Mutex

Sau khi ransomware xác định được hệ thống cần lây nhiễm, nó sẽ tạo một đối tượng mutex và khóa nó để đảm bảo rằng chỉ có một phiên bản của ransomware đang chạy tại bất kỳ thời điểm nào. Điều này giúp ngăn chặn xung đột giữa nhiều phiên bản của phần mềm tống tiền và đảm bảo rằng phần mềm tống tiền được thực thi theo cách được kiểm soát và có thể dự đoán được.

Hình dưới đây cho thấy ransomware đã khóa thành công mutex.


Hình 3 – BlackBit Khóa Mutex

Kiên trì

Sau đó, ransomware thiết lập sự tồn tại lâu dài trên hệ thống bị nhiễm bằng cách tự sao chép vào nhiều vị trí khác nhau. Cụ thể, nó thả một bản sao của chính nó vào các thư mục "C:ProgramData" và "C:UsersAppDataRoamingMicrosoftWindowsStart MenuProgramsStartup" và đổi tên thành "winlogon .exe". Điều này đảm bảo rằng ransomware được thực thi tự động khi hệ thống khởi động hoặc khi người dùng đăng nhập. Hình bên dưới cho thấy ransomware tự thả vào thư mục khởi động.


Hình 4 – BlackBit Tạo mục khởi động

Sau khi thiết lập mục khởi động, nó sẽ tự sao chép trong thư mục "C:UsersAppDataRoaming", được ngụy trang thành "winlogon.exe". Phần mềm ransomware được thả dưới dạng một tệp ẩn để che giấu sự hiện diện của nó, khiến nạn nhân không thể nhìn thấy nó. Sau đó, nó tạo một mục nhập Trình lập lịch tác vụ cho tệp "winlogon.exe" bằng lệnh:

  • schtasks /CREATE /SC ONLOGON /TN BlackBit /TR C:UsersAppDataRoamingwinlogon.exe /RU SYSTEM /RL HIGHEST /F
Mục nhập này đảm bảo rằng ransomware sẽ thực thi mỗi khi người dùng đăng nhập vào hệ thống.

Hình bên dưới hiển thị mục Trình lập lịch tác vụ được tạo bởi BlackBit Ransomware.


Hình 5 – BlackBit Tạo mục nhập Trình lập lịch tác vụ

Làm suy giảm khả năng phục hồi dữ liệu

After this, it executes specific commands via cmd.exe to remove all backups from the infected system. BlackBit uses multithreading to execute individual commands to impair recovery, such as deleting shadow copies and system backup. Ransomware also disables recovery mode in the system.

The ransomware uses the following commands to disable data backup:

  • "C:WindowsSystem32cmd.exe" /C vssadmin delete shadows /all /quiet
  • "C:WindowsSystem32cmd.exe" /C wbadmin DELETE SYSTEMSTATEBACKUP
  • "C:WindowsSystem32cmd.exe" /C wmic shadowcopy delete
  • "C:WindowsSystem32cmd.exe" /C wbadmin delete catalog -quiet
  • "C:WindowsSystem32cmd.exe" /C bcdedit /set {default} bootstatuspolicy ignoreallfailures
  • "C:WindowsSystem32cmd.exe" /C bcdedit /set {default} recoveryenabled no

Disabling Windows Defender and Firewalls

Following the removal of all backups and recovery, the ransomware proceeds to disable windows defender and the system’s firewall. This is achieved by executing a set of commands through a batch file using cmd.exe. Initially, the ransomware employs the following commands to disable Windows Defender:

  • "C:WindowsSystem32cmd.exe" /C netsh advfirewall set currentprofile state off
  • Set registry value HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows DefenderReal-Time ProtectionDisableBehaviorMonitoring: 0x00000001
  • Set registry value HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows DefenderReal-Time ProtectionDisableOnAccessProtection: 0x00000001
  • Set registry value HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows DefenderReal-Time ProtectionDisableScanOnRealtimeEnable
  • Set registry value: 0x00000001 HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows DefenderDisableAntiSpyware: 0x00000001
After disabling Windows Defender, the ransomware disables the firewall

  • "C:WindowsSystem32cmd.exe" /C netsh firewall set opmode mode=disable
The figure below shows the BlackBit Code to disable the Windows Defender.


Figure 6 – BlackBit Disabling Windows Defender

Disabling Task Manager

Additionally, BlackBit ransomware also disables the Task Manager to prevent monitoring of system processes and activities. It achieves this by dropping a batch file named "wvtymcow.bat" with a SHA256 hash of 708511c356493e41ca103db51b8df3fb57898ddb2bb7cf4f11560facde9425ed in the startup folder located at "C:UsersAppDataRoamingMicrosoftWindowsStart MenuProgramsStartup".

The batch file contains a single command, "REG add HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem /v DisableTaskMgr /t REG_DWORD /d 1 /f".

The dropped file and the contents of the batch file are shown in the figure below.


Figure 7 – BlackBit Disabling Task Manager in the System

Terminating Processes and Services

While disabling the security software, the ransomware also terminates several processes and stops specific services to ensure effective encryption of the victim’s files. The below table shows the processes targeted by the ransomware.

Wxserver
wxserverview
sqlservr
Ragui
Supervise
Culture
rtvscan
Defwatch
Winword
qbw32
qbdbmgr
Qbupdate
qbcfmonitorservice
axlbridge
qbidpservice
Httpd
Fdlauncher
msdtsrvr
tomcat6
zhudongfangyu
vmware-usbarbitator64
vmware-converter
dbsrv12
Msftesql
Sqlagent
sqlbrowser
sqlwriter
Oracle
Ocssd
Dbsnmp
synctime
Agntsvc
mydesktopqos
isqlplussvc
xfssvccon
mydesktopservice
Ocautoupds
Agntsvc
encsvc
firefoxconfig
Tbirdconfig
Ocomm
Mysqld
mysqld-nt
mysqld-opt
dbeng50
sqbcoreservice
Excel
Infopath
msaccess
mspub
Onenote
Outlook
powerpnt
steam
Thebat
thebat64
thunderbird
Visio
Winword
Wordpad
The ransomware also stops following services.

defwatch
ccevtmgr
ccsetmgr
savroam
sqlserv
sqlagent
sqladhlp
culserver
rtvscan
sqlbrowser
qbidpservice
quickboooks.fcs
qbcfmonitorservice
sqlwriter
msmdsrv
tomcat6
zhundongfangyu
vmware-usbarbitator64
vmware-converter
dbsrv12
dbeng8
wrapper
mssqlserver
mssql$contoso1
msdtc
sqlserveragent
vds

Staging for encryption

Ransomware creates a registry key HKEY_CURRENT_USERSOFTWAREBlackBit, which contains full encryption keys, a public key, and a timer to delete the data, as shown below.


Figure 8 – BlackBit Creating Registry Entry to Store Keys

After creating the registry key, the ransomware drops Cpriv.KTBR at "C:ProgramData", which contains the full key in Base64 format. Ransomware also warns not to delete the file as it will result in complete data loss.

Encryption

Now the BlackBit ransomware proceeds with file encryption. The ransomware encrypts files excluding the extensions .exe, .dll, and .sys, to prevent permanent damage to the system. After encryption, the ransomware renames the filename in the following format.

  • [RickyMonkey@onionmail.org] [Unique System ID]Actual -FileName.BlackBit
The below figure shows the encrypted files and their extensions.


Figure 9 – Files Encrypted by BlackBit Ransomware

Ransom Note

During the encryption process, BlackBit drops a ransom note named "Restore-My-Files.txt" that contains instructions for the victim to connect with the ransomware operators and includes the system ID for identification.

The figure below displays the ransom note dropped by BlackBit.


Figure 10 – Ransom Note Dropped By BlackBit

In addition to dropping the ransom note, the ransomware also creates the following registry entry :

  • ComputerHKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionExplorerFileExts.BlackBitOpenWithList
The figure below shows the registry entry for the dujwyavn.exe.


Figure 11 – Registry Entry for BlackBit Extension

This registry ensures that whenever victims try to open a file with a .BlackBit extension, the dujwyavn.exe executes automatically. The file dujwyavn.exe is dropped at C:ProgramData as a hidden file that pops up a ransom window when the victim tries to open encrypted files.

The figure below shows the pop-up window.


Figure 12 – BlackBit Pop-up Window

When the victim clicks on the OK button, it again opens an HTA file using mshta.exe.

The figure below shows the code for dujwyavn.exe.


Figure 13 – BlackBit Code to execute the Ransom note

The figure below shows the contents of the ransom note shown by mshta.exe.


Figure 14 – Ransom Note shown using mshta.exe

Some interesting behavior observed in this ransomware variant is that it continues to monitor the victim’s system even after encrypting their files, waiting for any new files to be created that can be encrypted. This means that if the victim creates new files or modifies existing ones, the ransomware will immediately encrypt them, adding the ".BlackBit" extension to their filename and locking the victim out of their data. This behavior allows the attackers to maximize the impact of their attack.

Conclusion

BlackBit Ransomware is a dangerous ransomware variant equipped with numerous malicious features. Although the full extent of its impact is not yet clear, our analysis suggests that BlackBit is a variant of LokiLocker ransomware. Ransomware such as BlackBit is on the rise, and we will continue to see more such ransomware in the future.

Our Recommendations

We have listed some essential cybersecurity best practices that create the first line of control against attackers. We recommend that our readers follow the best practices given below:

Safety Measures Needed to Prevent Ransomware Attacks

  • Conduct regular backup practices and keep those backups offline or in a separate network
  • Turn on the automatic software update feature on your computer, mobile, and other connected devices wherever possible and pragmatic
  • Use a reputed anti-virus and Internet security software package on your connected devices, including PC, laptop, and mobile
  • Refrain from opening untrusted links and email attachments without verifying their authenticity

Users Should Take the Following Steps After the Ransomware Attack

  • Detach infected devices on the same network
  • Disconnect external storage devices if connected
  • Inspect system logs for suspicious events

Impact of BlackBit Ransomware

  • Loss of Valuable data
  • Loss of the organization’s reputation and integrity
  • Loss of the organization’s sensitive business information
  • Disruption in organization operation
  • Financial loss

MITRE ATT&CK® Techniques

Tactic
Technique ID
Technique Name
Execution
Command and Scripting Interpreter
User Execution
Windows Management Instrumentation
Defense Evasion
Hidden Window
Delete shadow drive data
Discovery
System Information Discovery
File and Directory Discovery
Process Discovery
Impact
Data encrypted for impact
Inhibit System Recovery

Indicators of Compromise (IOCs)

Indicators
Indicator
Type
Description
90bae9356dc021172d0ff06603e7a4cf
7fd07c934ce9b7c4ad902408ed528acf4ce32ddb
1d2db070008116a7a1992ed7dad7e7f26a0bfee3499338c3e603161e3f18db2f
MD5
SHA1
SHA256
BlackBit
Ransomware
executable
9d898e39591f9a8b49fa27841acb7392 e9b35995bf772cd11be13bc5c9ac93c846f00405 b8ffd72534056ea89bfd48cbe6efb0b4d627a6284a7b763fdb7dfd070c1049ba
MD5
SHA1
SHA256
BlackBit
Ransomware
executable
d37b49b0a53fd07895ca4dc956cbc459 2f052cc3e64870b8ac28efb2d79bc2b16dff3e8e 43c6aef23a90c742274d6db2148a5cb5027c82e94ba2db4ae4b4184956e370b5
MD5
SHA1
SHA256
BlackBit
Ransomware
executable
8ead445620033ecee6c426cfbeac214b b04ccaa781be7521d50faa36db269f71ac56af58 cd29a952a51204f2e8744271b822c277b63ad8a54e3a6422e342eb9c53df0bda
MD5
SHA1
SHA256
BlackBit
Ransomware
executable
bf528ecf7601043fe7931ed1fdd1d081
3cac81473dd91e7adf4516f1805bc5bdfeb562e4
b3324b629febeefb17201abb52bc66094b4ffb292f8aa3a549f39e7e11c63694
MD5
SHA1
SHA256
BlackBit
Ransomware
executable

Related

https://cyble.com/blog/ransomware-groups-ramping-up-operations/?relatedposts_hit=1&relatedposts_origin=16924&relatedposts_position=0&relatedposts_hit=1&relatedposts_origin=16924&relatedposts_position=0

Ransomware Groups Ramping Up Operations

July 28, 2022
In "Cybercrime"
https://cyble.com/blog/noescape-ransomware-as-a-service-raas/?relatedposts_hit=1&relatedposts_origin=16924&relatedposts_position=1&relatedposts_hit=1&relatedposts_origin=16924&relatedposts_position=1

‘NoEscape’ Ransomware-as-a-Service (RaaS)

June 1, 2023
In "Ransomware"
https://cyble.com/blog/a-deep-dive-analysis-of-lockbit-2-0/?relatedposts_hit=1&relatedposts_origin=16924&relatedposts_position=2&relatedposts_hit=1&relatedposts_origin=16924&relatedposts_position=2

A Deep-dive Analysis of LOCKBIT 2.0

August 16, 2021
In "Ransomware"