O ano do “limpador”
O FortiGuard Labs tem rastreado ativamente o malware de limpeza direcionado a organizações ucranianas desde o início do conflito Rússia-Ucrânia de 2022.
O FortiGuard Labs tem rastreado ativamente o malware de limpeza direcionado a organizações ucranianas desde o início do conflito Rússia-Ucrânia de 2022. O aumento repentino de malware de limpeza começou no início do ano com várias novas amostras de limpeza voltadas para a Ucrânia. Ele exibiu um lado dos ataques cibernéticos que raramente vemos: destruição pura. Publicamos um artigo em abril de 2022 para ajudar as pessoas a entender o contexto, o histórico e a configuração técnica dos ataques de limpeza. Este post se concentra no que aconteceu no resto do ano e como o malware limpador e seus cenários de ataque mudaram.
Plataformas afetadas: Múltiplos
Usuários afetados: Grandes organizações
Impacto: Perda de dados e sistema operacional e corrupção de arquivos
Nível de gravidade: alto
Recapitular
Desde o último relatório, algumas novas amostras foram lançadas. A Figura 1 mostra uma versão atualizada de uma linha do tempo que usamos no passado. Em abril, já fomos surpreendidos com o aumento significativo de limpadores. Como você pode ver, aumentou ainda mais durante o resto do ano.
Figura 1 – Linha do tempo do malware Wiper
limpadores na guerra
Grande parte do malware limpador visto no primeiro semestre de 2022, atribuído ou não, foi implantado contra organizações ucranianas. Isso inclui HermeticWiper, CaddyWiper, IsaacWiper, WhisperGate e outros. Quando você pensa sobre isso, o crescimento do malware wiper durante um conflito dificilmente é uma surpresa. Dificilmente pode ser monetizado. O único caso de uso viável é destruição, sabotagem e guerra cibernética.
Um evento interessante foi o malware limpador AcidRain que visava os modems de satélite de um provedor global de comunicações via satélite, o que fazia com que os modems perdessem as conexões com sua rede de satélites. A mensagem era clara: mesmo que um ataque cibernético seja usado para atingir a Ucrânia, seus efeitos podem facilmente se espalhar e afetar outros países e organizações. É vital rastrear esses novos ataques altamente maliciosos.
Motivação: Hacktivismo
Com o passar do ano, o hacktivismo pró-russo também aumentou. Vimos isso em nossa telemetria, mostrando, por exemplo, um aumento de ataques DDOS em países nórdicos, principalmente na Finlândia (Figura 2).
Figura 2 – Detecções combinadas de IPS, malware e botnet da Fortinet nos países nórdicos
No entanto, o hacktivismo geralmente está associado a ataques DoS e desfiguração. Mas, desta vez, alguns atores começaram a redirecionar seu ransomware como limpadores ao não fornecer uma chave de descriptografia. E se nenhuma descriptografia for fornecida, o ransomware atuará essencialmente como um limpador. Vimos atores começarem a fazer isso intencionalmente.
Por exemplo, o ransomware Somnia foi implantado em várias organizações ucranianas. Os invasores comprometeram os sistemas usando um instalador de software falso e estabeleceram uma presença persistente. Como a maioria dos ataques de ransomware, eles exfiltraram dados e mantiveram seu acesso pelo tempo necessário. Mas, no final do ataque, nenhum descriptografador foi oferecido, o que significa que os arquivos permaneceram criptografados e inúteis.
O limpador mais intrigante do ano
O limpador mais intrigante que documentamos no segundo semestre de 2022 foi um chamado ‘Azov’. Sua segunda versão rapidamente chamou a atenção da mídia porque transmitia uma mensagem escrita em nome de conhecidos pesquisadores de segurança. Esses pesquisadores negaram qualquer conexão com o malware. Ele também entregou uma mensagem pró-ucraniana alegando que estava usando o malware para chamar mais atenção para a guerra Ucrânia-Rússia. No entanto, até agora, nenhuma atribuição foi feita.
No entanto, como se viu, a mensagem não era a parte mais interessante do malware. Também é muito atraente do ponto de vista técnico.
Primeiramente, ele foi escrito em linguagem assembly e construído com a ferramenta FASM. Isso é incomum porque a maioria dos novos malwares é escrita em linguagens como python, .NET ou C/C++. Também contradiz a primeira impressão de todos de que foi uma brincadeira usada para culpar os pesquisadores de segurança. No entanto, parece improvável que alguém se dê ao trabalho de escrever malware em assembly apenas por brincadeira.
Ele também implementa a criação de código polimórfico para se injetar em arquivos EXE legítimos na máquina infectada. Em seguida, ele executa uma função backdooring injetando uma versão modificada de si mesmo em arquivos EXE. Isso fornece persistência ao malware porque ele pode ser executado novamente assim que os arquivos backdoor forem executados.
Ele também implementa uma variedade de técnicas anti-análise:
- predicados opacos
- Anti-depuração
- Inchaço sintático e código lixo
- Usando instruções CALL em vez de RET ou JMP
- Criando dinamicamente a tabela de endereços de importação
Tudo isso demonstra que esse malware não foi criado para se divertir. É um limpador sofisticado que implementa uma variedade de técnicas modernas, mostrando claramente que é um agente de ameaça sofisticado.
Melhorando a performance
Os autores de ransomware entendem que a velocidade de criptografia geralmente é crucial para uma operação bem-sucedida. Depois que a criptografia é iniciada, eles estão em uma corrida contra a equipe de resposta a incidentes, que pode detectá-los a qualquer momento. Como resultado, a otimização de desempenho foi desenvolvida. Alguns novos ransomware agora implementam uma arquitetura multiencadeada que permite executar vários encadeamentos de criptografia em paralelo. Outros operadores perceberam que a criptografia completa de arquivos é demorada e pode nem ser necessária. O ransomware BlackCat, por exemplo, implementa várias estratégias de criptografia diferentes com melhorias variadas no desempenho (consulte esta apresentação do VirusBulletin ).
Existe um problema semelhante para limpadores. Tradicionalmente, os limpadores apagam um disco inteiro usando um driver de kernel, excluem arquivos usando diferentes técnicas e/ou alteram o conteúdo dos arquivos (mais sobre técnicas em nosso último artigo ). Tudo isso leva tempo. Como resultado, alguns autores começaram a experimentar a otimização de desempenho.
O limpador DoubleZero, por exemplo, apaga apenas os primeiros 4.096 bytes dos arquivos de destino. Isso significa que a maioria dos dados em um arquivo médio não seria apagada. No entanto, também é verdade que restaurar esses arquivos em grande escala seria muito impraticável. Por exemplo, os arquivos .docx modernos da Microsoft são essencialmente uma coleção de arquivos XML compactados. Excluir os primeiros 4096 bytes deles corromperia a compactação e a estrutura genérica do arquivo, o que significa que esses arquivos não funcionariam mais. Recriar um arquivo funcional com trabalho forense manual pode ser possível, mas simplesmente não é viável ao lidar com centenas ou milhares de arquivos.
O limpador Azov também implementou um processo de limpeza um pouco mais otimizado. Ele não remove todos os dados em cada arquivo. Em vez disso, ele visa apenas 666 bytes em um padrão alternado (666 bytes substituídos, 666 bytes intactos, 666 bytes substituídos etc.) até 4 GB.
Segmentação OT
Os ambientes OT também tiveram seu quinhão de limpadores. Já mencionamos o ataque contra o provedor de satélites (e, por extensão, os moinhos de vento alemães). Outro ataque interessante usando o malware Industroyer.V2 teve como alvo uma subestação elétrica de alta tensão ucraniana. Esse ataque visava manipular os relés elétricos para tirar a subestação do ar. No contexto do OT, eu consideraria o uso do malware Industroyer.V2 nesse contexto como um limpador. Os tradicionais limpadores de TI têm o objetivo de destruir as joias da coroa da TI, os dados. O Industroyer.V2 foi usado para destruir a joia da coroa daquela subestação, seu funcionamento.
Se isso não bastasse, o malware Industroyer.V2 foi implantado junto com três outros limpadores, possivelmente de diferentes agentes:
- CaddyWiper para máquinas Windows
- AWFULSHRED para Linux, máquinas Unix
- SOLOSHRED para máquinas Solaris
Isso ajuda a servir como um lembrete de que os ambientes OT estão sendo ativamente visados por diferentes agentes de ameaças, desde operadores de ransomware até APTs patrocinados pelo estado.
Em desenvolvimento
Um novo projeto interessante para prestar atenção é o limpador Endurance. É um limpador de código aberto que aparentemente aspira a se tornar ransomware. A Figura 3 mostra os recursos do malware e o estado de prontidão conforme descrito pelo autor.
Figura 3 – Recursos do limpador/ransomware do Endurance
Atualmente, os recursos de limpeza de arquivos do Endurance oferecem três modos de limpeza, com cada modo definindo quantas vezes o conteúdo deve ser substituído. Ele também oferece funções de exclusão de CONTEÚDO e de exclusão de ARQUIVO. A função de exclusão de CONTEÚDO (Figura 4) é responsável por sobrescrever o conteúdo de um arquivo em disco.
Figura 4 – Loop para substituir o conteúdo do arquivo várias vezes
A função de exclusão FILE (Figura 5) atualiza todos os atributos do arquivo e, em seguida, apaga o arquivo do disco.
Figura 5 – A exclusão do arquivo substitui todos os atributos do arquivo e remove o arquivo
Esta ferramenta está ativamente em desenvolvimento, embora no momento do teste, tivemos que corrigir o código para construí-la. Por ser de código aberto, isso pode fornecer um ponto de entrada fácil para invasores que desejam ingressar no jogo de limpeza/ransomware.
Conclusão
2022 nos forneceu novas perspectivas sobre malware destrutivo. Vimos diferentes técnicas de limpeza, diferentes motivações e diferentes motivações, atores e cenários de implantação. Novas instâncias do limpador, como os limpadores Azov e Endurance, mostram que os atores estão ativamente engajados em atividades cada vez mais maliciosas. Eles também estão tentando reduzir a detecção de ameaças e o tempo de resposta, otimizando efetivamente o desempenho de suas estratégias de limpeza. E também estamos vendo uma atenção maior sendo dada às redes OT, como o exemplo do malware Industroyer.V2. O ponto é claro. As luvas são retiradas à medida que os agentes de ameaças se envolvem cada vez mais em ataques projetados com um propósito: destruir seus alvos.
Proteção Fortinet
O mecanismo Fortinet Antivirus protege contra todos os binários discutidos neste relatório usando as seguintes assinaturas:
W32/KillDisk.NCV!tr
W32/Agent.OJC!worm
W32/KillMBR.NHQ!tr
W32/CaddyWiper.NCX!tr
W32/KillFiles.NKU!tr.ransom
W32/KillMBR.NGI!tr
MSIL/Agent.FP!tr.dldr
MSIL/Agente. QWILJV!tr
W32/KillFiles.NKU!tr.ransom
MSIL/VVH!tr
MSIL/Agent.VVH!tr
W32/DISTTRACK.C!tr
W32/Generic.BQYIIWO!tr
W64/DistTrack.A!tr
W32/Ordinypt.5873!tr.ransom
W32/OlympicDestroyer.A!tr
W32/Petya.EOB!tr
W32/Petya.A!tr.ransom
W64/Petya.BG!tr
W32/Agente.F0FC!tr
W64/Dustman.KH!tr
W32/Distrack!tr
W32/Agent.XACVYS!tr
W32/Distrack!tr
MSIL/DZeroWiper.CK!tr
ELF/AcidRain.A!tr
MSIL/KillMBR.X!tr
MSIL/KillDisk.I!tr
W32/PossibleThreat
O serviço FortiGuard Web Filtering classifica o servidor C2 como ‘Malicioso’ e o bloqueia de acordo.
O FortiMail e o FortiSandbox detectam e colocam em quarentena os anexos maliciosos nesta campanha, e o serviço CDR (Content Disarm and Reconstruction) da Fortinet pode desativá-los.
O FortiEDR detecta e bloqueia nativamente os executáveis maliciosos identificados no relatório com base em seu comportamento.
Além dessas proteções, a Fortinet pode ajudar a treinar os usuários para detectar e entender as ameaças de phishing:
O FortiPhish Phishing Simulation Service usa simulações do mundo real para ajudar as organizações a testar a conscientização e a vigilância do usuário em relação a ameaças de phishing e para treinar e reforçar as práticas adequadas quando os usuários encontram ataques de phishing direcionados.
Nosso programa de treinamento NSE GRATUITO — NSE 1 – Conscientização sobre segurança da informação — inclui um módulo sobre ameaças da Internet projetado para ajudar os usuários finais a aprender como se identificar e se proteger contra ataques de phishing.
COIs
650f0d694c0928d88aeed649cf629fc8a7bec604563bca716b1688227e0cc7e – Azov
100c5e4d5b7e468f1f16b22c05b2ff1cfaa02eafa07447c7d83e2983e42647f0 – Somnia_07_08_22_with_FunnySomnia.rar
ac5e68c15f5094cc6efb8d25e1b2eb13d1b38b104f31e1c76ce472537d715e08 – Dreams_07_08_22_with_FunnyDreams.exe (Sonhos)
99cf5c03dac82c1f4de25309a8a99dcabf964660301308a606cdb40c79d15317 – 1.exe (Cobalt Strike Beacon)
156965227cbeeb0e387cb83adb93ccb3225f598136a43f7f60974591c12fafcf – funnysomnia.exe
e449c28e658bafb7e32c89b07ddee36cadeddfc77f17dd1be801b134a6857aa9 – text.exe (Somnia*)
fbed7e92caefbd74437d0970921bfd7cb724c98c90efd9b6d0c2ac377751c9e5 – Ip_scanner.zip
06fe57cadb837a4e3b47589e95bb01aec1cfb7ce62fdba1f4323bb471591e1d2 – Ip_scanner.exe (Themida; Vidar)
1e0facd62d1958ccf79e049270061a9fce3223f7986c526f6f3a93ef85180a72 – Ip_scanner_unpacked.exe (Vidar)
3b2e708eaa4744c76a633391cf2c983f4a098b46436525619e5ea44e105355fe – DoubleZero
931b6b29e13d76a0e2e1e8b6910873d5ff7b88fd8c51cadf46057e47b695f187 – Resistência
BDF8B53D73CA1ED1B649B32A61608B2CF952397EF3D5FC2E6E9F41AD98C40110 – Limpador de Choros
91a9180a9cf7674c34ed53a8aa4e36b798334d1f448aeaf1afb9add4fd322b6e – Fantasia
0ad0cd07ca69d8fd2b075fef6e6dd5e9f7debca92af3a6b84d83e51e23bc182d – Bruh Wiper
Fonte: https://www.fortinet.com/
