Lý lịch

Được quan sát lần đầu tiên vào tháng 11 năm 2021, ALPHV, còn được gọi là ALPHV-ng, BlackCat và Noberus, là một mối đe dọa ransomware-as-a-service (RaaS) lũ vào các tổ chức trên nhiều lĩnh vực trên toàn thế giới bằng cách sử dụng chiến thuật chi tiền ba lần.

Dựa trên chiến thuật tiền kép phổ biến, trong đó cảm biến dữ liệu được đánh cắp trước khi mã hóa và nạn nhân bị đe dọa sẽ phát hành ra công chúng, việc làm tiền ba lần sẽ bổ sung thêm mối đe dọa về một cuộc tấn công từ chối dịch vụ phân tán (DDoS) nếu yêu cầu của nhóm ransomware không được phản hồi. chưa gặp.

Thể hiện kinh nghiệm trước đây trong không gian mối đe dọa này, có hạn chế như việc sử dụng các chiến thuật, kỹ thuật và quy trình săn trò chơi lớn (TTP) đã được chứng minh và thành công rõ ràng gần đây, mối đe dọa Điều này có thể được tạo ra bởi một ransomware nhóm thành viên cũ chứ không phải là người mới đến .

Đi xa hơn, một số người dùng diễn đàn tố tội phạm mạng đã nhận xét rằng ALPHV thậm chí có thể là một sự phát triển hoặc đổi tên thương hiệu của BlackMatter , bản thân nó là một 'spin-off' hoặc người kế thừa của REvil và DarkSide .

Trước đây đã được quảng cáo trên các diễn đàn tội phạm mạng bằng tiếng Nga (Hình 1), các chi nhánh được kéo dài tham gia nhóm với số tiền hoàn lại lên tới 90% số tiền Chiến thắng được.

Hình 1 – ALPHV 'Tìm kiếm pentesters WINDOWS/LINUX/ESX'

Làm việc với các nhánh mới này, lần xâm nhập ban đầu vào mạng nạn nhân có thể sẽ sử dụng các kỹ thuật đã được thử nghiệm. Ví dụ: khai thác các lỗ phổ biến trong mạng cơ sở hạ tầng thiết bị như cổng VPN và sử dụng thông tin xác thực thông qua các giao thức máy chủ máy tính từ xa (RDP) được hiển thị.

Sau đó, những kẻ tiến hành các cuộc tấn công ALPHV đã được phát hiện đang sử dụng PowerShell để sửa đổi cài đặt bảo mật của Windows Defender trên toàn mạng nạn nhân cũng như khởi chạy mã độc tống tiền nhị phân, một quy trình tương tác , trên nhiều máy chủ bằng PsExec.

Phần mềm tiền thưởng

Sau khi được cấp quyền truy cập vào đầu nạn nhân, nhóm chắc chắn sẽ tiến hành các giai đoạn trinh sát và chuyển ngang trong đó dữ liệu nhạy cảm và có giá trị sẽ được xác định để lọc và mã hóa hóa sau này .

Bằng cách sử dụng phần mềm ransomware của riêng mình, được tạo mới thay vì dựa trên một số mối đe dọa, kẻ đe dọa sẽ xây dựng mối đe dọa dành riêng cho nạn nhân có tính đến các yếu tố như hiệu suất mã hóa học, có thể chọn mã hóa hóa các phần lớn nhất của tệp, cũng như nhúng thông tin đăng nhập của nhân viên nạn nhân để cho phép tự động truyền tải tải ransomware đến các máy chủ khác.

Không giống như nhiều ransomware khác, ALPHV được phát triển bằng Rust, một ngôn ngữ lập trình nổi tiếng với hiệu suất nhanh và khả năng đa nền tảng, dẫn đến cả hai biến thể Linux và Windows đều được đảm bảo an toàn tháng 12 năm 2021 và tháng 1 năm 2022.

Trong khi nhiều người cho rằng ALPHV có thể là mối đe dọa ransomware 'trong tự nhiên' lần đầu tiên sử dụng ngôn ngữ này, bằng chứng khái niệm về ransomware Rust đã được xuất bản trên GitHub vào tháng 6 năm 2020 mặc dù không có gì cho thấy cả hai đều giống nhau. có quan hệ.

Đáng chú ý, việc sử dụng Rust, cùng với các ngôn ngữ hiện đại khác bao gồm Golang và Nim, phải như xu hướng ngày càng tăng của các chiến thuật chống tội phạm tội phạm trong một hoặc hai năm qua.

Ngoài việc tạo ra các mối đe dọa đa nền tảng và hiệu suất cao, một số tác nhân đe dọa cũng đã viết lại các mối đe dọa cũ hơn khả năng tránh sự phát hiện và ngăn chặn việc phân tích, như đã có thấy trình tải xuống 'Buer' được cập nhật có tên là 'RustyBuer'.

Phân tích các mẫu ALPHV được thu thập gần đây cho thấy rằng quá trình phát triển có thể diễn ra từ đầu đến giữa tháng 11 năm 2021 dựa trên lịch sử phát hành của Rust 'crates' (trình cài đặt thư viện) được sử dụng.

Cụ thể, các mẫu ALPHV được khảo sát gần đây sử dụng phiên bản 'Zeroize' 1.4.3 mới được phát hành cho đến ngày 4 tháng 11 năm 2021, đồng thời sử dụng các phiên bản khai báo khóa mã hóa phiên bản đã được thay thế bởi các phiên bản được phát hành vào ngày 16 và 17 tháng 11 năm 2021.

Mặc dù nhiều thùng Rust được sử dụng có phần rõ ràng, hạn chế như sử dụng lệnh dòng giao diện và mã hóa thư viện, sử dụng Zeroize, một thư viện xóa bí mật khỏi bộ nhớ một cách an toàn, đầy đủ là một nỗ lực có chủ ý ngăn chặn việc tiết lộ bí mật mã hóa. đã được khôi phục từ một máy nhập xâm nhập máy chủ.

Cấu hình

Mỗi tệp ransomware phân tách ALPHV dành riêng cho nhân vật có dữ liệu cấu trúc JSON được nhúng (Hình 2) chứa cấu hình phù hợp có tính năng kiến ​​thức của tác nhân đe dọa mạng nhân vật.

Hình 2 – Ví dụ về nhúng dữ liệu cấu trúc JSON

Các mẫu khảo sát gần đây bao gồm các cấu hình với một bộ tùy chọn chung (Bảng 1), một số ứng dụng cho cả hai biến thể và các cấu hình khác dành riêng cho hệ điều hành.

Bảng 1 – ALPHV config option

Mặc dù có nhiều tùy chọn xuất hiện trong cấu hình nhúng của cả hai mẫu, nhưng có vẻ như ransomware sẽ bỏ qua các tùy chọn không được áp dụng cho máy chủ, ví dụ: các mẫu Windows được khảo sát gần đây bao gồm các tham chiếu đến VMware ESXi, một nền tảng được hỗ trợ bởi Linux biến thể, trong khi các mẫu Linux được quan sát gần đây vẫn giữ lại các tham chiếu đến các thư mục, tệp và tệp mở rộng phần mở rộng của Windows.

Dựa trên lệnh dòng tùy chọn có sẵn cho cả hai biến thể, nhiều cấu hình tùy chọn được nhúng có thể bị ghi đè khi thực thi.

Command Line Interface

Việc khởi chạy ransomware với tham số '--help' sẽ hiển thị một cách thuận tiện cho các tùy chọn có sẵn (Hình 3) và cung cấp cái nhìn sâu sắc về khả năng của nó.

Hình 3 – Tùy chọn 'Core' của ALPHV ( Windows có thể thay đổi)

Điều đặc biệt là các tùy chọn được hiển thị có thể chỉ ra phiên bản cũ hơn hoặc biến thể dành riêng cho nhân vật/Windows, với nhiều tùy chọn cho phép nhân viên kiểm tra ghi đè bất kỳ cấu hình nào.

Ngoài các khả năng cốt lõi này, việc phân tích một biến thể Linux gần đây còn cung cấp cái nhìn sâu sắc (Hình 4) về hỗ trợ cho các máy chủ VMware ESXi, bao gồm các khả năng dừng máy ảo và nếu được bật, sẽ xóa sạch ảnh chụp nhanh của máy ảo để cản trở nỗ lực phục hồi.

Hình 4 – ALPHV 'ESXi' option option (variable Linux)

Sau khi ra mắt lần đầu, cả hai biến thể Linux và Windows đều bao gồm một nhóm công nhân đa luồng tạo ra một 'nhóm nhân viên tệp' bao gồm bốn nhân viên được sử dụng để mở và sửa đổi từng mục tiêu tệp, thay thế nội dung gốc bằng dữ liệu được mã hóa.

Biến Windows

Sau khi khởi động các tính năng cốt lõi của nó, bao gồm việc tạo tệp nhóm nhân viên, khả năng leo thang đặc quyền có thể được thực thi bởi Windows biến thể trong một số điều kiện tối ưu nhất.

Do thực thi thủ công phần tử ransomware diễn ra sau khi xâm nhập, sau giai đoạn trinh sát và lấy trộm dữ liệu, nên tác nhân đe dọa có thể đã có các đặc quyền nâng cao đặc quyền.

Bất chấp điều đó, các khả năng leo thang đặc quyền sau đây phải được nhúng trong ransomware và có khả năng sẽ tăng cơ hội thành công khi được phổ biến sang các máy chủ Windows khác:

• ' Masquerade_PEB ', trước đây được phát hiện dưới dạng khái niệm lệnh chứng minh [6] và được sử dụng để mang đến cho quy trình PowerShell sự xuất hiện của một quy trình khác mà có thể cho phép các hoạt động nâng cao.
• Kiểm soát Kiểm soát tài khoản người dùng (UAC) bỏ qua nâng cấp COM giao diện, trong trường hợp này sử dụng API quản trị viên API trợ giúp của Trình quản lý trình quản lý kết nối Microsoft để thiết lập đối tượng COM (cmstplua.dll):

• %SYSTEM32%DllHost.exe /Processid:{3E5FC7F9-9A51-4367-9063-A120244FBEC7}

• CVE-2016-0099, một dịch vụ khai thác dịch vụ đăng nhập phụ thông tin qua API 'CreatProcessWithLogonW'.

Ngoài ra, biến Windows có thể thực hiện một số quy trình trước giai đoạn mã hóa khác với các mối đe dọa phổ biến ransomware, cụ thể là:

• Lấy mã định danh duy nhất trên toàn cầu (UUID) của máy chủ bằng dòng lệnh tiện ích Giao diện quản lý Windows (WMIC), cùng với giá trị 'mã thông báo truy cập', sẽ tạo ra một 'khóa truy cập' để cho phép truy cập vào trang Tor dành riêng cho nhân vật:

• wmic csproduct nhận UUID

• Kích hoạt các biểu tượng liên kết 'remote to local' và 'remote to remote' bằng cách sử dụng tệp hệ thống tiện ích (fsutil) để cho phép tạo các liên kết chuyển hướng đến một số tệp hoặc thư mục khác:

• bộ hành vi fsutil SymlinkEvaluation R2L:1
• bộ hành vi fsutil SymlinkEvaluation R2R:1

• Đặt số lượng yêu cầu mạng mà dịch vụ Máy chủ có thể thực hiện ở mức tối đa, tránh mọi cố gắng truy cập tệp từ xa khi quá trình thực thi mã hóa bằng cách cập nhật cấu hình trong sổ đăng ký Windows:

• đăng ký thêm HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters /v MaxMpxCt /d 65535 /t REG_DWORD /f

• Liệt kê tất cả các bộ phận đĩa địa phương và nếu tìm thấy bất kỳ phân vùng ẩn nào, việc gắn kết các phân vùng này trở lại để cho phép bổ sung dữ liệu mã hóa, có khả năng khôi phục các phân vùng nên vô hiệu use.
• Truyền bá, nếu được bật, có thể sử dụng thông tin xác thực trong cấu hình được nhúng và sử dụng PsExec, một ứng dụng Microsoft Windows Sysinternals, để thực thi phần mềm ransomware này trên máy chủ từ xa:

• psexec.exe -accepteula -u -p -s -d -f -c [FLAGS] [TÙY CHỌN] --access-token [SUBCOMMAND]

Ngoài việc chặn hiển thị hộp thoại giấy phép PsExec ( -accepteula ), quy trình ransomware lan truyền sẽ được thực thi bằng tài khoản HỆ THỐNG ( -s ) trong phiên không tương tác ( -d ), loại bỏ nhu cầu chờ điều khiển từ xa quá trình hoàn tất, với việc thực thi ransomware được sao chép sang máy chủ từ xa ( -c ) và ghi đè bất kỳ tệp hiện có nào ( -f ). Đáng chú ý, tệp thực thi PsExec hợp pháp được nhúng trong biến thể Windows và bị thả vào thư mục %TEMP% của nạn nhân .

Đúng như dự đoán, các đặc điểm phổ biến của ransomware Windows cũng được thực hiện:

• Xóa các bản sao ẩn bằng tiện ích quản trị Volume Shadow Copy Service (VSS) (vssadmin) để cản trở các nỗ lực khôi phục:

• vssadmin.exe xóa bóng/tất cả/quiet

• Chấm dứt các quy trình và/hoặc dịch vụ được chỉ định trong cấu hình để giảm thiểu số lượng tệp bị khóa (mở) cũng như có khả năng vô hiệu hóa các tiện ích sao lưu và phần mềm bảo mật để tránh bị phát hiện.

• Làm trống thùng rác.

Mặc định sử dụng mã hóa AES, được biểu thị bằng tùy chọn cấu hình 'tốt nhất', quy trình có thể dự phòng hoặc bị ghi đè để sử dụng ChaCha20.

Sau khi tệp được mã hóa, phần mở rộng tệp gồm bảy ký tự chữ và số được định cấu hình trước sẽ được thêm vào tên tệp, một giá trị có vẻ khác nhau giữa các nạn nhân.

Sau giai đoạn mã hóa, một số tác vụ cuối cùng được thực hiện:

• Khám phá mạng, sử dụng NetBIOS và SMB, có thể là để chuẩn bị cho việc lan truyền, dường như bao gồm việc sử dụng lệnh giao thức phân giải địa chỉ gốc (ARP) để thu thập địa chỉ IP và MAC từ bảng ARP (danh sách các máy chủ được máy chủ nạn nhân biết):

• arp -a

• Tạo thông báo đòi tiền chuộc định sẵn trong từng thư mục chứa file mã hóa cũng như hình ảnh chứa thông báo đòi tiền chuộc ngắn gọn trên Desktop của tất cả người dùng:

• PHỤC HỒI--FILES.txt
• %USERPROFILE%DesktopRECOVER--FILES.txt.png

• Đặt hình nền máy tính (Hình 5) thành tệp hình ảnh PNG được thả cho mỗi người dùng thông qua cập nhật khóa đăng ký Windows:
• HKEY_USERSControl PanelDesktopWallPaper = "C:UsersDesktopRECOVER--FILES.txt.png"

Hình 5 – Mã hóa sau hình nền máy tính

• Lặp lại quá trình xóa bản sao bóng bằng vssadmin.
• Sử dụng tiện ích Nhật ký sự kiện Windows (wevtutil) để liệt kê và sau đó xóa tất cả nhật ký sự kiện:

• cho /F "tokens=*" %1 in ('wevtutil.exe el') LÀM wevtutil.exe cl "%1""

Hành vi của VMware ESXi

Giả sử các tùy chọn ESXi không bị tắt, tiện ích giao diện dòng lệnh VMware ESXi (esxcli) được gọi và tạo danh sách tất cả các máy ảo đang chạy được phân tách bằng dấu phẩy:

• esxcli --formatter=csv --format-param=fields=="WorldID,DisplayName" vm danh sách quy trình

Đầu ra của lệnh này sau đó được 'chuyển' tới AWK, một tiện ích xử lý văn bản, để phân tích kết quả và khởi chạy tiện ích giao diện dòng lệnh ESXI để buộc chấm dứt từng máy ảo:

• awk -F ""*,"*" '{system("esxcli vm process kill --type=force --world-id="$1)}'

Bằng cách sử dụng tiện ích Quản lý cơ sở hạ tầng ảo VMware (vimcmd), một danh sách máy ảo khác được thu thập và phân tích cú pháp, kết quả của chúng được chuyển trở lại vimcmd bằng lệnh 'snapshot.removeall' dẫn đến bất kỳ và tất cả các ảnh chụp nhanh đều bị xóa:

• cho tôi trong `vim-cmd vmsvc/getallvms| awk '{print$1}'`;do vim-cmd vmsvc/snapshot.removeall $i & xong

Nạn nhân

Như thường lệ với các mối đe dọa ransomware của thợ săn trò chơi lớn, nạn nhân thường là các tổ chức lớn mà từ đó có thể bị tống tiền với số tiền chuộc lớn hơn với các báo cáo cho thấy rằng nhu cầu dao động từ 400 nghìn đô la Mỹ đến 3 triệu đô la phải trả bằng tiền điện tử.

Mặc dù vẫn chưa xác định được số lượng nạn nhân thực sự nhưng hơn 20 tổ chức đã được nêu tên trên 'trang web rò rỉ' Tor của nhóm, trên nhiều lĩnh vực và quốc gia, bao gồm:

• Úc, Bahamas, Pháp, Đức, Ý, Hà Lan, Philippines, Tây Ban Nha, Vương quốc Anh và Hoa Kỳ.
• Dịch vụ kinh doanh, xây dựng, năng lượng, thời trang, tài chính, hậu cần, sản xuất, dược phẩm, bán lẻ và công nghệ.

Các chỉ số thỏa hiệp (IOC)

Quy trình Linux

Các quy trình hợp pháp, mặc dù đáng ngờ, sau đây được tạo ra bởi biến thể Linux/VMware ESXi:

• esxcli --formatter=csv --format-param=fields=="WorldID,DisplayName" vm danh sách quy trình | awk -F ""*,"*" '{system("esxcli vm process kill --type=force --world-id="$1)}'
• cho tôi trong `vim-cmd vmsvc/getallvms| awk '{print$1}'`;do vim-cmd vmsvc/snapshot.removeall $i & xong

Quy trình Windows

Các quy trình hợp pháp, mặc dù đáng ngờ, sau đây đã được tạo ra bởi biến thể Windows:

• arp -a
• %SYSTEM32%DllHost.exe /Processid:{3E5FC7F9-9A51-4367-9063-A120244FBEC7}
• cho /F "tokens=*" %1 in ('wevtutil.exe el') LÀM wevtutil.exe cl "%1""
• bộ hành vi fsutil SymlinkEvaluation R2L:1
• bộ hành vi fsutil SymlinkEvaluation R2R:1

• psexec.exe -accepteula -u -p -s -d -f -c [FLAGS] [TÙY CHỌN] --access-token [SUBCOMMAND]
• reg thêm HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters /v MaxMpxCt /d 65535 /t REG_DWORD /f
• wmic csproduct nhận UUID

Phần mềm thực thi ransomware Linux (SHA256)

Vì mỗi mẫu là dành riêng cho nạn nhân nên những mẫu sau đây được cung cấp cho mục đích nghiên cứu thay vì mục đích phát hiện:

• 3a08e3bfec2db5dbece359ac9662e65361a8625a0122e68b56cd5ef3aedf8ce1
• 5121f08cf8614a65d7a86c2f462c0694c132e2877a7f54ab7fcefd7ee5235a42
• 9802a1e8fb425ac3a7c0a7fca5a17cfcb7f3f5f0962deb29e3982f0bece95e26
• e7060538ee4b48b0b975c8928c617f218703dab7aa7814ce97481596f2a78556
• f7a038f9b91c40e9d67f4168997d7d8c12c2d27cd9e36c413dd021796a24e083

• f8c08d00ff6e8c6adb1a93cd133b19302d0b651afd73ccb54e3b6ac6c60d99c6

Phần mềm thực thi ransomware Windows (SHA256)

Vì mỗi mẫu là dành riêng cho nạn nhân nên những mẫu sau đây được cung cấp cho mục đích nghiên cứu thay vì mục đích phát hiện:

• 0c6f444c6940a3688ffc6f8b9d5774c032e3551ebbccb64e4280ae7fc1fac479
• 13828b390d5f58b002e808c2c4f02fdd920e236cc8015480fa33b6c1a9300e31

• 15b57c1b68cd6ce3c161042e0f3be9f32d78151fe95461eedc59a79fc222c7ed
• 1af1ca666e48afc933e2eda0ae1d6e88ebd23d27c54fd1d882161fd8c70b678e
• 2587001d6599f0ec03534ea823aab0febb75e83f657fadc3a662338cc08646b0
• 28d7e6fe31dc00f82cb032ba29aad6429837ba5efb83c2ce4d31d565896e1169
• 2cf54942e8cf0ef6296deaa7975618dadff0c32535295d3f0d5f577552229ffc

• 38834b796ed025563774167716a477e9217d45e47def20facb027325f2a790d1
• 3d7cf20ca6476e14e0a026f9bdd8ff1f26995cdc5854c3adb41a6135ef11ba83
• 4e18f9293a6a72d5d42dad179b532407f45663098f959ea552ae43dbb9725cbf
• 59868f4b346bd401e067380cac69080709c86e06fae219bfb5bc17605a71ab3f
• 5bdc0fb5cfbd42de726aacc40eddca034b5fa4afcc88ddfb40a3d9ae18672898

• 658e07739ad0137bceb910a351ce3fe4913f6fcc3f63e6ff2eb726e45f29e582
• 7154fdb1ef9044da59fcfdbdd1ed9abc1a594cacb41a0aeddb5cd9fdaeea5ea8
• 722f1c1527b2c788746fec4dd1af70b0c703644336909735f8f23f6ef265784b
• 731adcf2d7fb61a8335e23dbee2436249e5d5753977ec465754c6b699e9bf161
• 7b2449bb8be1b37a9d580c2592a67a759a3116fe640041d0f36dc93ca3db4487

• 7e363b5f1ba373782261713fa99e8bbc35ddda97e48799c4eb28f17989da8d8e
• 9f6876762614e407d0ee6005f165dd4bbd12cb21986abc4a3a5c7dc6271fcdc3
• aae77d41eba652683f3ae114fadec279d5759052d2d774f149f3055bf40c4c14
• b588823eb5c65f36d067d496881d9c704d3ba57100c273656a56a43215f35442
• bd337d4e83ab1c2cacb43e4569f977d188f1bb7c7a077026304bf186d49d4117

• be8c5d07ab6e39db28c40db20a32f47a97b7ec9f26c9003f9101a154a5a98486
• c3e5d4e62ae4eca2bfca22f8f3c8cbec12757f78107e91e85404611548e06e40
• c5ad3534e1c939661b71f56144d19ff36e9ea365fdb47e4f8e2d267c39376486
• c8b3b67ea4d7625f8b37ba59eed5c9406b3ef04b7a19b97e5dd5dab1bd59f283
• cda37b13d1fdee1b4262b5a6146a35d8fc88fa572e55437a47a950037cc65d40

• cefea76dfdbb48cfe1a3db2c8df34e898e29bec9b2c13e79ef40655c637833ae
• d767524e1bbb8d50129485ffa667eb1d379c745c30d4588672636998c20f857f
• f837f1cd60e9941aa60f7be50a8f2aaac380f560db8ee001408f35c1b7a97cb

Bạn nên làm gì bây giờ

Dưới đây là ba cách chúng tôi có thể giúp bạn bắt đầu hành trình giảm rủi ro dữ liệu tại công ty của mình:

1. Lên lịch một phiên demo với chúng tôi , nơi chúng tôi có thể giới thiệu cho bạn xung quanh, trả lời các câu hỏi của bạn và giúp bạn xem liệu Varonis có phù hợp với bạn hay không.
2. Tải xuống báo cáo miễn phí của chúng tôi và tìm hiểu các rủi ro liên quan đến việc lộ dữ liệu SaaS.
3. Chia sẻ bài đăng blog này với người mà bạn biết là người thích đọc nó. Chia sẻ nó với họ qua email, LinkedIn, Reddit hoặc Facebook.