Noberus Ransomware: sucessor de Darkside e BlackMatter continua a evoluir suas táticas

Os invasores que implantam o ransomware Noberus (também conhecido como BlackCat, ALPHV) têm usado novas táticas, ferramentas e procedimentos (TTPs) nos últimos meses, tornando a ameaça mais perigosa do que nunca.

Entre alguns dos desenvolvimentos mais notáveis ​​está o uso de uma nova versão da ferramenta de exfiltração de dados Exmatter e o uso do Eamfo, malware de roubo de informações projetado para roubar credenciais armazenadas pelo software de backup da Veeam.

Como funciona o Noberus?

Acredita-se que o Noberus seja uma carga útil sucessora das famílias de ransomware Darkside e BlackMatter, que foram desenvolvidas por um grupo Symantec, pela Broadcom Software, rastreia como Coreid (também conhecido como FIN7, Carbon Spider). Darkside foi usado no ataque de ransomware Colonial Pipeline em maio de 2021. A quantidade extrema de atenção pública e policial que o ataque atraiu levou Coreid a fechar o Darkside e substituí-lo pelo BlackMatter. A Coreid executa uma operação de ransomware como serviço (RaaS), o que significa que desenvolve o ransomware, mas é implantado por afiliadas por uma parte dos lucros. O ransomware implantado por diferentes afiliados às vezes pode explicar os diferentes TTPs e cadeias de ataque usados ​​nos ataques Noberus.

O Noberus despertou interesse quando foi visto pela primeira vez em novembro de 2021 porque foi codificado em Rust, e esta foi a primeira vez que vimos uma variedade de ransomware profissional usada em ataques do mundo real codificados nessa linguagem de programação. Rust é uma linguagem notável, pois é multiplataforma. Coreid afirma que o Noberus é capaz de criptografar arquivos nos sistemas operacionais Windows, EXSI, Debian, ReadyNAS e Synology.

O Noberus surgiu logo após o BlackMatter anunciar que estava sendo aposentado. Coreid estabelece nas regras de seu programa de afiliados que o Noberus não pode ser usado para atacar:

• A Comunidade de Estados Independentes ou países vizinhos
• Organizações do setor de saúde ou relacionadas a ele
• Organizações beneficentes ou sem fins lucrativos
• Os afiliados também são aconselhados a evitar ataques aos setores de educação e governo.

Ao anunciar o Noberus, Coreid sublinhou os recursos que pareciam projetados para enfatizar sua superioridade em relação ao ransomware rival, incluindo que cada anúncio é fornecido com uma entrada através de seu próprio domínio onion exclusivo; o programa de afiliados exclui arquitetonicamente todas as conexões possíveis com fóruns; mesmo que um shell de linha de comando completo seja obtido, o invasor não poderá revelar o endereço IP real do servidor e os bate-papos de negociação criptografados que só podem ser acessados ​​pela vítima pretendida.

O ransomware também oferecia dois algoritmos de criptografia (ChaCha20 e AES), além de quatro modos de criptografia – Full, Fast, DotPattern e SmartPattern. Full é o modo mais seguro, mas também o mais lento. O SmartPattern oferece criptografia de “N” megabytes em incrementos percentuais. Por padrão, ele criptografa com uma faixa de 10 megabytes a cada 10% do arquivo a partir do cabeçalho, o que seria um modo ideal para invasores em termos de velocidade e força criptográfica. O Sentinel Labs publicou recentemente um relatório em que se referia a esse tipo de criptografia como “criptografia intermitente” e mencionou como ela foi adotada por certos operadores de ransomware, incluindo Noberus, Black Basta e muito mais.

A porcentagem de cada resgate pago aos afiliados da Noberus varia de acordo com o valor do resgate. A Coreid atualizou continuamente o Noberus desde seu lançamento em novembro de 2021 para tornar sua operação mais eficiente. Eles também eliminarão os afiliados se não estiverem trazendo dinheiro suficiente, incentivando-os a “contatar equipes menos profissionais”. Em dezembro de 2021, o ransomware adicionou uma nova função “Plus” para afiliados que haviam arrecadado mais de US$ 1,5 milhão. Deu acesso a:

• DDoS – usado para direcionar domínios com ataques DDoS
• Chamadas – adicionar um campo para indicar os números de telefone da vítima ou adicionar um número de contato para que o afiliado se comunique diretamente com as vítimas, se desejar
• Brute – tornando possível a força bruta NTDS, bilhetes Kerberos e outros hashes gratuitamente

O Coreid fez uma grande atualização no Noberus em junho de 2022, que incluiu:

• Apresentando uma compilação ARM para criptografia de arquiteturas não padrão
• Apresentando SAFEMODE – Adicionada funcionalidade de criptografia à compilação do Windows por meio da reinicialização no modo de segurança (–safeboot) e no modo de segurança com rede (–safeboot-network)

O Coreid também fez algumas atualizações no armário, adicionando nova lógica de reinicialização e simplificando o processo de criptografia do Linux. Em uma atualização de julho de 2022, a equipe adicionou a indexação de dados roubados – o que significa que seus sites de vazamento de dados podem ser pesquisados ​​por palavra-chave, tipo de arquivo e muito mais.

A contínua atualização e refinamento das operações da Noberus mostra que o Coreid está constantemente adaptando sua operação de ransomware para garantir que permaneça o mais eficaz possível. O FBI emitiu um aviso em abril de 2022 dizendo que, entre novembro de 2021 e março de 2022, pelo menos 60 organizações em todo o mundo foram comprometidas com o ransomware Noberus – o número de vítimas agora provavelmente será muitos múltiplos disso.

Noberus e Exmatter: Nova versão da ferramenta de exfiltração de dados usada em ataques de ransomware

Em agosto de 2022, uma versão altamente atualizada da ferramenta de exfiltração de dados Exmatter (Trojan.Exmatter) foi observada sendo usada junto com o Noberus em ataques de ransomware.

O Exmatter foi descoberto por pesquisadores da Symantec em novembro de 2021 sendo usado junto com o ransomware Blackmatter. Ele foi projetado para roubar tipos de arquivos específicos de vários diretórios selecionados e carregá-los em um servidor controlado pelo invasor antes da implantação do próprio ransomware na rede da vítima. Mesmo no momento de sua descoberta, várias variantes da ferramenta foram vistas, pois seus desenvolvedores continuaram a refiná-la para otimizar sua operação e agilizar a exfiltração de um volume suficiente de dados de alto valor no menor tempo possível.

Esta versão mais recente do Exmatter reduziu o número de tipos de arquivo que ele tenta exfiltrar. Agora, ele irá exfiltrar arquivos apenas com as seguintes extensões:

• .pdf, .doc, .docx, .xls, .xlsx, .png, .jpg, .jpeg, .txt, .bmp, .rdp, .txt, .sql, .msg, .pst, .zip, .rtf , .ipt, .dwg

Outros novos recursos incluem:

• Adição de terceira capacidade de exfiltração (FTP) para SFTP e WebDav, que estavam presentes em versões mais antigas.
• Relatórios: Capacidade de construir um relatório listando todos os arquivos processados.
• Borracha: Pode corromper arquivos processados ​​(não ativado na versão analisada).
• Self-destruct: Opção de configuração que, quando habilitada, fará com que a ferramenta se autodestrua e encerre se executada em ambiente não corporativo (fora de um domínio Windows).
• Socks5: o suporte Socks5 foi removido.
• Em pelo menos um ataque, a ferramenta foi implantada via GPO.

Além disso, o malware foi amplamente reescrito e até os recursos existentes foram implementados de maneira diferente. Esta foi possivelmente uma tentativa de evitar a detecção. Não está claro se o Exmatter é a criação do Coreid ou um afiliado qualificado do grupo, mas seu uso ao lado de duas iterações diferentes do ransomware do Coreid é notável. Seu desenvolvimento contínuo também destaca o foco do grupo no roubo e extorsão de dados, e a importância desse elemento de ataques para os agentes de ransomware agora.

Noberus e Eamfo: invasores usando malware para roubar credenciais da Veeam

Pelo menos uma afiliada da operação de ransomware Noberus foi detectada no final de agosto usando malware de roubo de informações projetado para roubar credenciais armazenadas pelo software de backup da Veeam. A Veeam é capaz de armazenar credenciais para uma ampla variedade de sistemas, incluindo controladores de domínio e serviços em nuvem. As credenciais são armazenadas para facilitar o backup desses sistemas. O malware (Infostealer.Eamfo) foi projetado para se conectar ao banco de dados SQL onde a Veeam armazena credenciais e roubar credenciais com a seguinte consulta SQL:

• selecione [user_name],[password],[description] FROM [VeeamBackup].[dbo].[Credentials]

A Eamfo irá então descriptografar e exibir as credenciais.

O Eamfo parece existir desde pelo menos agosto de 2021 e há evidências de que ele foi usado anteriormente por invasores usando as famílias de ransomware Yanluowang e LockBit. Um relatório recente da BlackBerry também detalhou o Eamfo sendo usado ao lado de uma nova variedade de ransomware batizada de Monti, que parece ser baseada no código-fonte vazado do ransomware Conti. Os TTPs usados ​​nos ataques de Monti também se assemelham a antigas cadeias de ataques de Conti, sugerindo que aqueles por trás de Monti podem ser ex-afiliados desse grupo. O Conti foi desenvolvido por um grupo que a Symantec acompanha como Miner.

Roubar credenciais da Veeam é uma técnica de ataque conhecida que pode facilitar o escalonamento de privilégios e o movimento lateral, fornecendo aos invasores acesso a mais dados que podem potencialmente exfiltrar e mais máquinas para criptografar.

Os ataques Noberus envolvendo Eamfo vistos pela Symantec também utilizaram o GMER, um scanner de rootkit relativamente antigo que pode ser aproveitado por agentes de ransomware para matar processos. O uso de GMER por invasores de ransomware parece ter se tornado mais frequente nos últimos meses, e também foi visto no ataque Monti detalhado pelo BlackBerry.

Conclusão

Não há dúvida de que Coreid é um dos desenvolvedores de ransomware mais perigosos e ativos operando no momento. O grupo existe desde 2012 e se tornou conhecido por usar seu malware Carbanak para roubar dinheiro de organizações em todo o mundo, com os setores bancário, hoteleiro e de varejo entre seus alvos preferidos. Três membros do grupo foram presos em 2018 e, em 2020, o grupo mudou suas táticas e lançou sua operação de ransomware como serviço. O desenvolvimento contínuo de seu ransomware e seus programas de afiliados indica que esse invasor sofisticado e com bons recursos tem pouca intenção de ir a lugar algum tão cedo.

Proteção/Mitigação

Para obter as atualizações de proteção mais recentes, visite o  Symantec Protection Bulletin.

Indicadores de Compromisso

Hashes de arquivo (SHA256)

ad5002c8a4621efbd354d58a71427c157e4b2805cb86f434d724fc77068f1c40 – Trojan.Exmatter

8c5b108eab6a397bed4c099f13eed52aeec37cc214423bde07544b44a62e74a – Ransom.Noberus

78517fb07ee5292da627c234b26b555413a459f8d7a9641e4a9fcc1099f06a3d –Infostealer.Eamfo

9aa1f37517458d635eae4f9b43cb4770880ea0ee171e7e4ad155bbdee0cbe732 –Infostealer.Eamfo

df492b4cc7f644ad3e795155926d1fc8ece7327c0c5c8ea45561f24f5110ce54 –Infostealer.Eamfo

029dde7c2ec880fb3d3e95e6a8376739b4bc46a0ce24012e064b904e6ecb672c –Ransom.Noberus

72f0981f18b969db2781e874d249d8003c07f99786e217f84cf54a148de259cc –Ransom.Noberus

18c909a2b8c5e16821d6ef908f56881aa0ecceeaccb5fa1e54995935fcfd12f7 – Driver GMER

e8a3e804a96c716a3e9b69195db6ffb0d33e2433af871e4d4e1eab3097237173 – GMER

ed6275195cf9fd758fb7f8bce868c14dc9e9d6b7aa6f472f714bce5ed7fabf7f – PAExec mascarado

5799d554307906e92749a0c45f21baff28d83b1cedccbf7cb6f2b98ac1b00930 – Mascarado PAExec

Nomes de arquivo

sync_enc.exe

sem_cert.exe

vup.exe

morph.exe

locker.exe

isgmer.exe

kgeyauow.sys