Cyble — BlackBit Ransomware: Mối đe dọa từ bóng tối của LokiLocker
Published by TUNGTEK Tùng 🌥️,
BlackBit Ransomware: Mối đe dọa từ bóng tối của LokiLocker
Ngày 3 tháng 5 năm 2023
Mối đe dọa ngày càng tăng của các tập đoàn ransomware nhỏ
Trong những năm gần đây, các hoạt động ransomware đã nổi lên như một chương trình tội phạm mạng có lợi nhuận cao. Nhiều công ty đã phải chịu đựng thất bại lớn về tài chính, dữ liệu và danh tiếng do những cuộc tấn công như vậy. Thông thường, các nhà nghiên cứu một mạng ninh có xu hướng tập trung vào các nhóm ransomware nổi bật chạy phần mở rộng hoạt động Ransomware-as-a-Service (RaaS). Nhóm này thường bao gồm các nhà phát triển và tội phạm mạng có tay nghề cao, thậm chí đôi khi vẫn nhận được sự hỗ trợ từ các tổ chức được nhà nước hỗ trợ.
Sự phong phú của kỹ thuật thông tin về hoạt động của ransomware đã dẫn đến sự xuất hiện của những kẻ mới tham gia vào lĩnh vực này. Mặc dù thiếu blog bị rò rỉ dữ liệu hoặc tham gia vào khối lượng lớn hoạt động, các nhóm này đang phát triển công cụ và phát triển chiến thuật của mình để bảo vệ mục tiêu vào các tổ chức lớn hơn mà không nhận được nhiều sự thật quan tâm từ các chuyên gia an ninh mạng.
Phòng thí nghiệm nghiên cứu và thông minh Cyble (CRIL) đã tìm thấy một biến thể tương tự của ransomware, BlackBit. Vào tháng 9 năm 2022, ransomware BlackBit lần đầu tiên được phát hiện. Việc không có bất kỳ hoạt động nào trên trang web rò rỉ ý nghĩa rằng phần mềm ransomware hiện không trích xuất dữ liệu từ hệ thống nạn nhân. Chúng tôi nghi ngờ rằng nó có thể vẫn đang ở giai đoạn đầu hoạt động.
AhnLab gần đây đã xuất bản một bài báo chỉ ra rằng phần mềm ransomware đặc biệt này đang được phân phối ở Hàn Quốc. BlackBit Ransomware là một ransomware biến thể được LokiLocker hoạt động trên RaaS cấu hình. Mã nguồn của BlackBit cho thấy ransomware là bản sao của LokiLocker với một số thay đổi về mặt thẩm mỹ như biểu tượng, tên, cách phối màu, vv
BlackBit ransomware là một phức tạp phức tạp với nhiều khả năng thiết lập tính bền vững, trốn tránh phòng thủ và làm suy yếu khả năng phục hồi. Ngoài ra, nó còn kết hợp ba phương pháp riêng biệt để hiển thị thông tin thanh toán cho nạn nhân. Phương pháp này bao gồm bỏ ghi chú đòi tiền chiến, hiển thị cửa sổ bật lên khi nạn nhân cố gắng mở các tệp được mã hóa và hiển thị trang HTA qua mshta.exe.
Chi tiết kỹ thuật
Tệp nhị phân ransomware mà chúng tôi đã phân tích là tệp thực thi 32 bit được xây dựng bằng trình biên dịch .NET và được bảo vệ bằng .NET Reactor. Tệp này có tên là "svchost.exe" và có hàm băm SHA256 là 1d2db070008116a7a1992ed7dad7e7f26a0bfee3499338c3e603161e3f18db2f . Ngoài việc được đóng gói, ransomware còn sử dụng các chức năng ảo và kỹ thuật đa luồng để thực hiện quá trình phân tích phức tạp.
Thông tin bổ sung về BlackBit Ransomware tệp được cung cấp trong hình bên dưới.
Hình 1 – Chi tiết tĩnh của BlackBit Ransomware có thể thực thi
Tắt công tắc
Khi phần mềm ransomware được thực thi, trước tiên nó sẽ kiểm tra bố cục bàn phím của hệ thống nạn nhân bằng cách sử dụng killswitch. Nếu ngôn ngữ hệ thống được xác định là tiếng Ba Tư thì ransomware sẽ tự chấm dứt. Tuy nhiên, nếu ngôn ngữ không phải là tiếng Ba Tư, phần mềm ransomware sẽ tiếp tục các hoạt động tiếp theo. Hình bên dưới cho thấy ransomware đang so sánh ngôn ngữ hệ thống với ngôn ngữ "Persian".
Hình 2 – BlackBit Ransomware KillSwitch
Mutex
Sau khi ransomware xác định được hệ thống cần lây nhiễm, nó sẽ tạo một đối tượng mutex và khóa nó để đảm bảo rằng chỉ có một phiên bản của ransomware đang chạy tại bất kỳ thời điểm nào. Điều này giúp ngăn chặn xung đột giữa nhiều phiên bản của phần mềm tống tiền và đảm bảo rằng phần mềm tống tiền được thực thi theo cách được kiểm soát và có thể dự đoán được.
Hình dưới đây cho thấy ransomware đã khóa thành công mutex.
Hình 3 – BlackBit Khóa Mutex
Kiên trì
Sau đó, ransomware thiết lập sự tồn tại lâu dài trên hệ thống bị nhiễm bằng cách tự sao chép vào nhiều vị trí khác nhau. Cụ thể, nó thả một bản sao của chính nó vào các thư mục "C:ProgramData" và "C:UsersAppDataRoamingMicrosoftWindowsStart MenuProgramsStartup" và đổi tên thành "winlogon .exe". Điều này đảm bảo rằng ransomware được thực thi tự động khi hệ thống khởi động hoặc khi người dùng đăng nhập. Hình bên dưới cho thấy ransomware tự thả vào thư mục khởi động.
Hình 4 – BlackBit Tạo mục khởi động
Sau khi thiết lập mục khởi động, nó sẽ tự sao chép trong thư mục "C:UsersAppDataRoaming", được ngụy trang thành "winlogon.exe". Phần mềm ransomware được thả dưới dạng một tệp ẩn để che giấu sự hiện diện của nó, khiến nạn nhân không thể nhìn thấy nó. Sau đó, nó tạo một mục nhập Trình lập lịch tác vụ cho tệp "winlogon.exe" bằng lệnh:
- schtasks /CREATE /SC ONLOGON /TN BlackBit /TR C:Users
AppDataRoamingwinlogon.exe /RU SYSTEM /RL HIGHEST /F
Mục nhập này đảm bảo rằng ransomware sẽ thực thi mỗi khi người dùng đăng nhập vào hệ thống.
Hình bên dưới hiển thị mục Trình lập lịch tác vụ được tạo bởi BlackBit Ransomware.
Hình 5 – BlackBit Tạo mục nhập Trình lập lịch tác vụ
Làm suy giảm khả năng phục hồi dữ liệu
After this, it executes specific commands via cmd.exe to remove all backups from the infected system. BlackBit uses multithreading to execute individual commands to impair recovery, such as deleting shadow copies and system backup. Ransomware also disables recovery mode in the system.
The ransomware uses the following commands to disable data backup:
- "C:WindowsSystem32cmd.exe" /C vssadmin delete shadows /all /quiet
- "C:WindowsSystem32cmd.exe" /C wbadmin DELETE SYSTEMSTATEBACKUP
- "C:WindowsSystem32cmd.exe" /C wmic shadowcopy delete
- "C:WindowsSystem32cmd.exe" /C wbadmin delete catalog -quiet
- "C:WindowsSystem32cmd.exe" /C bcdedit /set {default} bootstatuspolicy ignoreallfailures
- "C:WindowsSystem32cmd.exe" /C bcdedit /set {default} recoveryenabled no
Disabling Windows Defender and Firewalls
Following the removal of all backups and recovery, the ransomware proceeds to disable windows defender and the system’s firewall. This is achieved by executing a set of commands through a batch file using cmd.exe. Initially, the ransomware employs the following commands to disable Windows Defender:
- "C:WindowsSystem32cmd.exe" /C netsh advfirewall set currentprofile state off
- Set registry value HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows DefenderReal-Time ProtectionDisableBehaviorMonitoring: 0x00000001
- Set registry value HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows DefenderReal-Time ProtectionDisableOnAccessProtection: 0x00000001
- Set registry value HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows DefenderReal-Time ProtectionDisableScanOnRealtimeEnable
- Set registry value: 0x00000001 HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows DefenderDisableAntiSpyware: 0x00000001
After disabling Windows Defender, the ransomware disables the firewall
- "C:WindowsSystem32cmd.exe" /C netsh firewall set opmode mode=disable
The figure below shows the BlackBit Code to disable the Windows Defender.
Figure 6 – BlackBit Disabling Windows Defender
Disabling Task Manager
Additionally, BlackBit ransomware also disables the Task Manager to prevent monitoring of system processes and activities. It achieves this by dropping a batch file named "wvtymcow.bat" with a SHA256 hash of 708511c356493e41ca103db51b8df3fb57898ddb2bb7cf4f11560facde9425ed in the startup folder located at "C:UsersAppDataRoamingMicrosoftWindowsStart MenuProgramsStartup".
The batch file contains a single command, "REG add HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem /v DisableTaskMgr /t REG_DWORD /d 1 /f".
The dropped file and the contents of the batch file are shown in the figure below.
Figure 7 – BlackBit Disabling Task Manager in the System
Terminating Processes and Services
While disabling the security software, the ransomware also terminates several processes and stops specific services to ensure effective encryption of the victim’s files. The below table shows the processes targeted by the ransomware.
Wxserver | wxserverview | sqlservr | Ragui |
Supervise | Culture | rtvscan | Defwatch |
Winword | qbw32 | qbdbmgr | Qbupdate |
qbcfmonitorservice | axlbridge | qbidpservice | Httpd |
Fdlauncher | msdtsrvr | tomcat6 | zhudongfangyu |
vmware-usbarbitator64 | vmware-converter | dbsrv12 | Msftesql |
Sqlagent | sqlbrowser | sqlwriter | Oracle |
Ocssd | Dbsnmp | synctime | Agntsvc |
mydesktopqos | isqlplussvc | xfssvccon | mydesktopservice |
Ocautoupds | Agntsvc | encsvc | firefoxconfig |
Tbirdconfig | Ocomm | Mysqld | mysqld-nt |
mysqld-opt | dbeng50 | sqbcoreservice | Excel |
Infopath | msaccess | mspub | Onenote |
Outlook | powerpnt | steam | Thebat |
thebat64 | thunderbird | Visio | Winword |
Wordpad |
The ransomware also stops following services.
defwatch | ccevtmgr | ccsetmgr | savroam |
sqlserv | sqlagent | sqladhlp | culserver |
rtvscan | sqlbrowser | qbidpservice | quickboooks.fcs |
qbcfmonitorservice | sqlwriter | msmdsrv | tomcat6 |
zhundongfangyu | vmware-usbarbitator64 | vmware-converter | dbsrv12 |
dbeng8 | wrapper | mssqlserver | mssql$contoso1 |
msdtc | sqlserveragent | vds |
Staging for encryption
Ransomware creates a registry key HKEY_CURRENT_USERSOFTWAREBlackBit, which contains full encryption keys, a public key, and a timer to delete the data, as shown below.
Figure 8 – BlackBit Creating Registry Entry to Store Keys
After creating the registry key, the ransomware drops Cpriv.KTBR at "C:ProgramData", which contains the full key in Base64 format. Ransomware also warns not to delete the file as it will result in complete data loss.
Encryption
Now the BlackBit ransomware proceeds with file encryption. The ransomware encrypts files excluding the extensions .exe, .dll, and .sys, to prevent permanent damage to the system. After encryption, the ransomware renames the filename in the following format.
- [RickyMonkey@onionmail.org] [Unique System ID]Actual -FileName.BlackBit
The below figure shows the encrypted files and their extensions.
Figure 9 – Files Encrypted by BlackBit Ransomware
Ransom Note
During the encryption process, BlackBit drops a ransom note named "Restore-My-Files.txt" that contains instructions for the victim to connect with the ransomware operators and includes the system ID for identification.
The figure below displays the ransom note dropped by BlackBit.
Figure 10 – Ransom Note Dropped By BlackBit
In addition to dropping the ransom note, the ransomware also creates the following registry entry :
- ComputerHKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionExplorerFileExts.BlackBitOpenWithList
The figure below shows the registry entry for the dujwyavn.exe.
Figure 11 – Registry Entry for BlackBit Extension
This registry ensures that whenever victims try to open a file with a .BlackBit extension, the dujwyavn.exe executes automatically. The file dujwyavn.exe is dropped at C:ProgramData as a hidden file that pops up a ransom window when the victim tries to open encrypted files.
The figure below shows the pop-up window.
Figure 12 – BlackBit Pop-up Window
When the victim clicks on the OK button, it again opens an HTA file using mshta.exe.
The figure below shows the code for dujwyavn.exe.
Figure 13 – BlackBit Code to execute the Ransom note
The figure below shows the contents of the ransom note shown by mshta.exe.
Figure 14 – Ransom Note shown using mshta.exe
Some interesting behavior observed in this ransomware variant is that it continues to monitor the victim’s system even after encrypting their files, waiting for any new files to be created that can be encrypted. This means that if the victim creates new files or modifies existing ones, the ransomware will immediately encrypt them, adding the ".BlackBit" extension to their filename and locking the victim out of their data. This behavior allows the attackers to maximize the impact of their attack.
Conclusion
BlackBit Ransomware is a dangerous ransomware variant equipped with numerous malicious features. Although the full extent of its impact is not yet clear, our analysis suggests that BlackBit is a variant of LokiLocker ransomware. Ransomware such as BlackBit is on the rise, and we will continue to see more such ransomware in the future.
Our Recommendations
We have listed some essential cybersecurity best practices that create the first line of control against attackers. We recommend that our readers follow the best practices given below:
Safety Measures Needed to Prevent Ransomware Attacks
- Conduct regular backup practices and keep those backups offline or in a separate network
- Turn on the automatic software update feature on your computer, mobile, and other connected devices wherever possible and pragmatic
- Use a reputed anti-virus and Internet security software package on your connected devices, including PC, laptop, and mobile
- Refrain from opening untrusted links and email attachments without verifying their authenticity
Users Should Take the Following Steps After the Ransomware Attack
- Detach infected devices on the same network
- Disconnect external storage devices if connected
- Inspect system logs for suspicious events
Impact of BlackBit Ransomware
- Loss of Valuable data
- Loss of the organization’s reputation and integrity
- Loss of the organization’s sensitive business information
- Disruption in organization operation
- Financial loss
MITRE ATT&CK® Techniques
Tactic | Technique ID | Technique Name |
Execution | Command and Scripting Interpreter
User Execution
Windows Management Instrumentation | |
Defense Evasion | Hidden Window
Delete shadow drive data | |
Discovery | System Information Discovery
File and Directory Discovery
Process Discovery | |
Impact | Data encrypted for impact
Inhibit System Recovery |
Indicators of Compromise (IOCs)
Indicators | Indicator
Type | Description |
90bae9356dc021172d0ff06603e7a4cf
7fd07c934ce9b7c4ad902408ed528acf4ce32ddb
1d2db070008116a7a1992ed7dad7e7f26a0bfee3499338c3e603161e3f18db2f | MD5
SHA1
SHA256 | BlackBit
Ransomware
executable |
9d898e39591f9a8b49fa27841acb7392 e9b35995bf772cd11be13bc5c9ac93c846f00405 b8ffd72534056ea89bfd48cbe6efb0b4d627a6284a7b763fdb7dfd070c1049ba | MD5
SHA1
SHA256 | BlackBit
Ransomware
executable |
d37b49b0a53fd07895ca4dc956cbc459 2f052cc3e64870b8ac28efb2d79bc2b16dff3e8e 43c6aef23a90c742274d6db2148a5cb5027c82e94ba2db4ae4b4184956e370b5 | MD5
SHA1
SHA256 | BlackBit
Ransomware
executable |
8ead445620033ecee6c426cfbeac214b b04ccaa781be7521d50faa36db269f71ac56af58 cd29a952a51204f2e8744271b822c277b63ad8a54e3a6422e342eb9c53df0bda | MD5
SHA1
SHA256 | BlackBit
Ransomware
executable |
bf528ecf7601043fe7931ed1fdd1d081
3cac81473dd91e7adf4516f1805bc5bdfeb562e4
b3324b629febeefb17201abb52bc66094b4ffb292f8aa3a549f39e7e11c63694 | MD5
SHA1
SHA256 | BlackBit
Ransomware
executable |
Related
Ransomware Groups Ramping Up Operations
July 28, 2022
In "Cybercrime"
‘NoEscape’ Ransomware-as-a-Service (RaaS)
June 1, 2023
In "Ransomware"
A Deep-dive Analysis of LOCKBIT 2.0
August 16, 2021
In "Ransomware"