РУССКИЙ
РУССКИЙ
ENGLISH
29.06.2022

Кошелек или жизнь

Разбираем партнерскую программу вымогателя BlackCat
Андрей Жданов
Главный специалист по анализу вредоносного кода и проактивному поиску киберугроз Лаборатории цифровой криминалистики Group-IB
Олег Скулкин
Руководитель Лаборатории цифровой криминалистики Group-IB
В популярном советском фильме «Место встречи изменить нельзя» следователи Московского уголовного розыска внедряют агента в банду «Черная кошка» и арестовывают всех участников шайки. Образ этой неуловимой и жестокой банды, оставлявшей на месте преступления свою визитную карточку — рисунок черной кошки — собирательный. После войны в Москве орудовали несколько группировок, совершавших вооруженные налеты, грабежи и убийства. Скрываясь от следствия, разбойники нередко переходили из одной разгромленной банды в другую или создавали новые.

Нечто подобное мы часто видим и у киберпреступников. Несмотря на многочисленные аресты людей, причастных к деятельности программ-вымогателей, а также закрытие некоторых партнерских программ, ransomware по-прежнему остается киберугрозой №1. Атаки шифровальщиков продолжаются по всему миру, а теневые форумы все так же пестрят объявлениями о продаже «доступов» и найме «пентестеров».


Сейчас у специалистов уже нет сомнений, что бывшие участники DarkSide, BlackMatter и REvil стали костяком новой, более зрелой и изощренной (с учетом их накопленного опыта) партнерской программы ALPHV. Среди исследователей она получила неофициальное название BlackCat из-за использования двух логотипов: изображений черной кошки и окровавленного ножа. Позднее представители ALPHV пытались избавиться от романтики бандитизма, изменив дизайн логотипа, однако название BlackCat уже приклеилось к ним намертво.

Несмотря на свою недолгую историю, эта группа за полгода совершила около 140 атак по всему миру и задала новый вектор в развитии криминального бизнеса, связанного с вымогательством. Многие партнерские программы, например Hive, стали подражать и активно перенимать методы и подходы BlackCat. Об особенностях данной партнерской программы, а также о том, как именно действуют партнеры, получив доступ в сети своих жертв, мы и расскажем в этом блоге.

INTRO от ALPHV

Деятельность ALPHV началась в декабре 2021 года, когда на теневых форумах запустилась рекламная компания по привлечению новых участников в партнерскую программу:

Описание условий партнерской программы на одном из теневых форумов

В этой рекламной кампании будущим партнерам предлагалось принципиально новое семейство программ-вымогателей, разработанное с нуля на языке программирования Rust. Это популярный кросс-платформенный язык программирования, позволяющий создавать безопасные и эффективные прикладные и системные приложения. Использование Rust для создания программ-вымогателей стало знаковым событием в киберпреступном мире.

Описание семейства программ-вымогателей BlackCat

С самого начала работы новой RaaS стало очевидно, что создатели не новички в криминальном бизнесе. Причем они учли и негативный опыт своих предшественников — партнерских программ DarkSide, BlackMatter и REvil. После нашумевших кибератак на крупные компании эти группы попали под пристальное внимание исследователей и правоохранительных органов. Вместе с образцами они получали доступ к персональным страницам жертв, содержащим переписку со злоумышленниками, и нередко вмешивались в их коммуникации.

Информация об использовании токенов доступа

Чтобы избежать прошлых ошибок, авторы BlackCat добавили в программы-вымогатели обязательный параметр командной строки, который содержит так называемый токен доступа (access token). Владельцы RaaS предоставляют его партнерам вместе с комплектом программ-вымогателей. Из токена доступа программа-вымогатель вычисляет ключ доступа (access key), который добавляется к ссылке Tor — так жертва получает доступ к своей странице.

Содержимое текстового файла help, передаваемого партнерам RaaS

Эта ссылка сохраняется в записке с требованием выкупа, которая в виде текстового файла создается в каждом каталоге с зашифрованными файлами.

Текст записки с требованием выкупа

Если жертвы публикуют информацию из чата — партнеры BlackCat наказывают их за утечку, например увеличивают сумму выкупа. В начале своей деятельности, для устрашения будущих жертв, злоумышленники поступали еще более радикально: могли удалить ключи шифрования жертвы.

Информация об удалении ключей шифрования одной из жертв, опубликованная операторами BlackCat

Персональная страница жертвы

Партнеры BlackCat используют схему двойного и тройного вымогательства. Во-первых, похищенная информация публикуется на сайте утечек BlackCat (DLS, Dedicated Leak Site). Во-вторых, чтобы усилить давление на жертву, партнеры BlackCat могут угрожать передать чувствительную информацию конкурентам, партнерам или клиентам жертвы, средствам массовой информации, правоохранительным органам и т.п. И в-третьих, жертва может получать угрозы DDoS-атак на свою инфраструктуру.

Пример чата с жертвой

На момент написания этой статьи на DLS BlackCat были опубликованы похищенные документы 93 пострадавших компаний, которые отказались платить выкуп. По нашей оценке, общее количество жертв BlackCat с декабря 2021 года составляет порядка 140 компаний.

Так выглядит DLS BlackCat

Тактики, техники и процедуры партнеров BlackCat

Для реконструкции жизненного цикла атаки BlackCat мы используем унифицированные этапы атаки с использованием программ-вымогателей (The Unified Ransomware Kill Chain), описанные в книге Incident Response Techniques for Ransomware Attacks.
Получение первоначального доступа к ИТ-инфраструктуре
Так как в рамках одной партнерской программы могут работать разные злоумышленники, техники, используемые для получения первоначального доступа, иногда различаются. Кроме того, партнеры могут пользоваться услугами брокеров первоначального доступа, продающих доступы в скомпрометированную инфраструктуру компаний.
В рамках расследования инцидентов мы сталкивались со следующими техниками:
1
Эксплуатация публично доступных приложений
Из-за большого количества уязвимостей в самых разных приложениях, позволяющих выполнять произвольный код, данная техника в 2021 году обрела популярность как у партнеров, так и у брокеров первоначального доступа. В случае с BlackCat, атакующие проэксплуатировали набор уязвимостей, известный как ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207). Это позволило им поместить веб-шелл на уязвимый сервер Microsoft Exchange и осуществить дальнейшую постэксплуатацию.
2
Использование средств удаленного доступа
Проникновение через публично доступные терминальные серверы остается самой популярной техникой первоначального доступа, и партнеры BlackCat также пользовались ими в некоторых случаях. Кроме терминальных серверов, злоумышленники получали доступ в целевую ИТ-инфраструктуру через VPN: многие организации все еще не используют мультифакторную аутентификацию, что позволяет вымогателям без труда пользоваться учетными записями, данные которых были заранее похищены, например при помощи стилеров.
Подготовка к развитию атаки
Получив первоначальный доступ, атакующие копируют на скомпрометированный хост набор инструментов или его часть, а также стремятся закрепиться и получить доступ к привилегированным учетным данным, чтобы иметь возможность продвигаться по сети.

Чтобы обеспечить себе дополнительные возможности доступа в скомпрометированную сеть, атакующие могут использовать как туннели, построенные при помощи ngrok или gost, так и легитимное программное обеспечение, например TeamViewer и ScreenConnect.

В некоторых случаях партнеры также использовали Cobalt Strike — фреймворк, который многие уже привыкли видеть при расследовании атак с использованием программ-вымогателей.

В большинстве инцидентов партнеры BlackCat полагались на легитимные инструменты, чтобы извлечь аутентификационные данные путем дампинга процесса LSASS (Local Security Authority Server Service). Например, злоумышленники использовали ProcDump, а также эксплуатировали функцию MiniDump легитимной библиотеки comsvcs.dll.

В некоторых случаях атакующие не ограничивались LSASS и использовали различные инструменты разработки NirSoft, чтобы извлечь аутентификационные данные из реестра, веб-браузеров и других хранилищ.
Сбор информации об ИТ-инфраструктуре
На этапе сбора данных партнеры зачастую не демонстрировали инновационных методов, полагаясь на ставшие классикой инструменты. Так, для сканирования сети атакующие использовали SoftPerfect Network Scanner — еще один инструмент, который активно применяют группы, вовлеченные в атаки с использованием вымогательского ПО.

Для сбора информации об Active Directory атакующие использовали инструмент, популярный среди партнеров REvil и BlackMatter, — ADRecon.

Кроме того, для сбора информации о доступных локальных и сетевых дисках применялся инструмент NS. Он был особенно популярен среди тех партнеров, которые использовали терминальные серверы для получения первоначального доступа.
Поиск ключевых узлов, продвижение по сети и эксфильтрация данных
Получив достаточные привилегии в ИТ-инфраструктуре, атакующие начинают продвигаться к ключевым узлам, которые позволят им выгрузить наиболее значимые данные и избавиться от резервных копий.

Для продвижения по сети партнеры могут использовать как абсолютно легитимные техники, например RDP, так и более «шумные», такие как Impacket (в частности wmiexec и smbexec) и Cobalt Strike.

Для доступа к части инфраструктуры под управлением Linux зачастую используется PuTTY.

Перед эксфильтрацией данные помещаются в архивы при помощи 7-Zip, после чего выгружаются на файлообменник MEGA через утилиту Rclone. Кроме того, в некоторых случаях партнеры использовали ExMatter — инструмент для эксфильтрации, ранее замеченный в арсенале участников партнерской программы BlackMatter.
Подготовка к развертыванию программы-вымогателя
Развертыванию программы-вымогателя BlackCat предшествует уничтожение доступных резервных копий или их шифрование, а также сбор дополнительных учетных данных, которые позволят атакующим поразить не только Windows, но и Linux-сегмент.

Несмотря на невысокий уровень детектируемости образцов BlackCat, некоторые партнеры стремятся отключить антивирусное программное обеспечение до перехода к этапу развертывания.
Развертывание программы-вымогателя
Распространение BlackCat по ИТ-инфраструктуре жертвы производится либо путем модификации групповых политик, в результате чего на каждом хосте создается задача в планировщике, запускающая вредоносный файл, либо средствами PsExec.

Сами программы-вымогатели разработаны на языке программирования Rust. Многие исследователи справедливо относят BlackCat к наиболее сложным и изощренным среди всех программ-вымогателей. Программы BlackCat имеют богатую функциональность и возможность гибкой индивидуальной настройки за счет использования разнообразных конфигурационных данных и аргументов командной строки.

Разработаны версии BlackCat для Windows (32bit) и Linux (32bit и 64bit). Версия для Linux 64bit нацелена прежде всего на серверы ESXi. В марте 2022 года вышла новая версия BlackCat — ALPHV MORPH. Авторы с гордостью заявили на теневых форумах, что благодаря обфускации эта версия практически не детектируются антивирусным ПО.

Описание функций ALPHV MORPHV на одном из теневых форумов

Ранее мы уже отмечали, что для запуска программ-вымогателей BlackCat требуется обязательно указывать значение токена доступа в параметре командной строки — access-token. В ранних версиях корректность значения токена доступа никак не проверяется, а ключ доступа вычисляется непосредственно по введенному значению токена. Программа будет запущена, а также будет проводиться шифрование файлов, но доступ к панели жертвы при этом будет невозможен. Однако в версии ALPHV MORPH первые 16 символов access token используются в качестве ключа для расшифровки конфигурационных данных, поэтому при их некорректном вводе программа-вымогатель не запустится.

Для обхода контроля учетных записей UAC (User Account Control) в BlackCat используется повышение привилегий с помощью COM-интерфейса ICMLuaUtil. Также для повышения привилегий может использовать метод "Masquerade PEB". Программы-вымогатели BlackCat могут осуществлять попытки аутентификации с использованием похищенных учетных записей, содержащихся в конфигурационных данных.



При запуске BlackCat разрешает символические ссылки с удаленного объекта на локальный и удаленный объекты:
fsutil behavior set SymlinkEvaluation R2L:1

fsutil behavior set SymlinkEvaluation R2R:1
Останавливает службы IIS, выполняя команду:
iisreset.exe /stop
Удаляет теневые копии разделов:
vssadmin.exe Delete Shadows /all /quiet

wmic.exe Shadowcopy Delete
Отключает восстановление в загрузочном меню Windows:
bcdedit /set {default}

bcdedit /set {default} recoveryenabled No
Очищает журналы событий Windows:
for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"
Также программа-вымогатель завершает процессы и останавливает службы, указанные в конфигурации.

Стоит отметить, что BlackCat для Windows может самостоятельно распространяться в локальной сети в качестве сетевого червя. Для этого используется содержащаяся в теле вымогателя легитимная утилита PsExec и похищенные учетные данные, указанные в конфигурации.

Шифрование файлов осуществляется многопоточно. Для шифрования содержимого файлов в зависимости от настроек могут использоваться алгоритмы AES 128 CTR или ChaCha20. Векторы nonce содержат 8 или 12 нулевых байтов соответственно. Также могут применяться различные режимы шифрования файлов их краткое описание приведено ниже.

Доступные параметры командной строки

Конфигурационные данные BlackCat содержатся в теле программы-вымогателя в формате JSON. В ранних версиях BlackCat данные конфигурации содержались в открытом виде, но в последних версиях (ALPHV MORPH) хранятся уже в зашифрованном (AES-128 CTR). Для расшифровки в качестве ключа используются первые 16 символов токена доступа (access token). Если указанные символы введены некорректно, то запуск программы-вымогателя не может осуществиться из-за ошибки в конфигурационных данных.

Конфигурационные данные BlackCat в отформатированном виде

Необходимо отметить, что, несмотря на изощренность некоторых методов, многие тактики и техники, используемые партнерами BlackCat, могут быть легко обнаружены, что указывает на значительные недостатки внедренных в организациях средств защиты, а также на недостаток квалифицированных ИБ-специалистов.

MITRE ATT&CK

Программы-вымогатели

2021/2022

Исчерпывающий обзор тактик, техник и процедур (TTPs) операторов программ-вымогателей на основе матрицы MITRE ATT&CK®.