Um novato na cena de ransomware usou uma variação de malware de 14 anos para se manter presente em uma rede dividida durante um ataque recente, descobriram os pesquisadores.
O grupo Black Basta aumentou recentemente o uso de Qbot (também conhecido como Quakbot) para se mover lateralmente em uma rede comprometida, de acordo com pesquisadores da NCC Group, firma de assessoria em segurança. No blog da empresa, foi publicado um post que descreve o modo de funcionamento do Black Basta em detalhes.
O NCC Group’s Ross Inman e Peter Gurney informou em um post que Qakbot foi a principal técnica usada pelo cibercriminoso para permanecer conectado à rede.

Qbot surgiu em 2008 como um vírus para roubar informações baseado no Windows com capacidade para realizar gravação de teclas, roubar cookies e obter informações bancárias on-line e outras credenciais. Desde então, tem resistido ao teste do tempo através de constante evolução, tornando-se em software malicioso de alto nível com técnicas inteligentes de detecção-evasão e comunicação contextual, além de habilidades de phishing que incluem a captura de e-mails, entre outros.
Ao contrário de Black Basta, que é relativamente novo, a cibercriminalidade tem sido notada há alguns meses com o primeiro relatório de um ataque do grupo ransomware.
Black Basta, assim como outros de sua espécie, usa táticas de extorsão de dupla força, onde os dados são previamente roubados da rede antes da implantação do ransomware. O grupo então ameaça expor essas informações no seu site Tor, que é utilizado unicamente para esse fim.
Aquele que se mistura experimenta o melhor sabor.
Não é incomum que grupos de ransomware aproveitem o Qbot para a invasão inicial de uma rede. No entanto, o uso do Black Bastion parece se destacar, afirmaram os estudiosos.
Garret Grajek, CEO da empresa de segurança YouAttest, acentuou que a importância e eficácia da colaboração não são para serem subestimadas, declarando em um e-mail à Threatpost o aumento da exigência em termos de como as organizações devem se defender.
A NCC Group observou o ataque ao notar um documento de texto na pasta C:\Windows\ denominado pc_list.txt, o qual foi detectado em dois controladores de domínio afetados, informaram.
Os estudiosos afirmaram que tanto um quanto o outro possuíam um catálogo de endereços IP dentro da rede. Isso forneceu ao ator malicioso uma lista de IPs para direcionar o ataque ransomware.
Uma vez que a gangue ransomware obteve acesso à rede e criou um PsExec.exe em C:\Windows\folder, eles usaram Qbot de forma remota para estabelecer um serviço temporário em um host de destino, que foi configurado para executar uma DLL Qakbot usando regsvr32.exe, conforme relatado por pesquisadores.
A fim de continuar o movimento lateral, Black Basta então empregou RDP, juntamente com o envio de um arquivo de lote denominado rdp.bat – contendo linhas de comando para permitir que logons RDP sejam ativados. Isto permitiu que o ator de ameaças estabelecesse sessões remotas de desktop nos hosts invadidos, mesmo se o RDP tivesse sido desativado no começo, segundo os pesquisadores.
Ações para evitar e responder a ameaças de ransomware: técnicas de contorno e execução.
Os cientistas descobriram aspectos específicos de um ataque do Black Basta durante sua análise do incidente, incluindo como ele se esquiva da detecção e como coloca o ransomware no dispositivo comprometido, informaram.
O grupo começa a agir de maneira prejudicial na rede antes mesmo de instalar o ransomware, estabelecendo conexões de RDP para servidores Hyper-V, alterando configurações relacionadas aos trabalhos de backup da Veeam e excluindo os backups das máquinas virtuais hospedadas, de acordo com os pesquisadores. Em seguida, eles usam o WMI (Windows Management Instrumentation) para disseminar o ransomware, afirmam.
Durante o ataque, dois processos específicos também foram usados como táticas de evasão para evitar a detecção e desativar o Windows Defender. Um deles foi implementar o script d.bat localmente em hosts comprometidos e executar comandos de PowerShell. O outro foi criar um objeto de política de grupo (GPO) em um controlador de domínio comprometido. Esse último impulsionaria mudanças para o registro do Windows de anfitriões com domínio para poder passar por proteções, disseram os pesquisadores.
Após ter sido implantado, os pesquisadores descobriram que o Black Basta ransomware, como muitas de suas variantes, não criptografa todos os arquivos. Ao invés disso, ele “criptografa parcialmente o arquivo para acelerar e aumentar a eficiência da criptografia”, bloqueando 64 bytes de um arquivo alternadamente com 128 bytes.
Para modificar os arquivos, o grupo também usa uma chave criptográfica RSA previamente gerada e 0x00020000, que são anexadas ao fim do arquivo que será usado posteriormente para descriptografar, os pesquisadores informaram. Uma vez que a criptografia de um arquivo seja concluída com sucesso, sua extensão é alterada para .basta, o que automaticamente muda o ícone do arquivo para a imagem de uma gota, disseram eles.
Edite e compartilhe este artigo.
- Software maligno é um tipo de programa que tem a intenção de causar danos.