Red Hot Cyber

La cybersecurity è condivisione.
Riconosci il rischio, combattilo, condividi le tue esperienze ed 
incentiva gli altri a fare meglio di te.

Cerca

LockBit 3.0: rendere eccezionale una operazione ransomware

Redazione RHC : 6 Luglio 2022 20:18

  

AuthorEmanuele de LuciaCluster25

LockBit è uno dei principali attori nella scena del ransomware e ha contribuito notevolmente a far diventare questo modello di criminalità informatica uno dei più popolari e imitati nel panorama delle minacce.

La versione 2.0 del suo progetto è entrata in scena nel luglio 2021 mostrando immediatamente il potenziale per diventare una tra le cybergang leader in questo “business”. 

Il collettivo si è distinto per aver evidenziato alcune caratteristiche tecniche distintive del proprio prodotto e per diverse dichiarazioni pubbliche in cui la velocità e l’efficienza del suo ransomware sono state definite, dai rappresentanti delle gang, “impareggiabili” rispetto a quanto la community aveva potuto osservare fino a quel momento. 

Sempre secondo i membri di LockBit il progetto 2.0 poteva contare su:

  1. La velocità di crittografia più veloce sul mercato;
  2. Uno strumento mirato specificamente all’esfiltrazione dei dati;
  3. Meccanismi automatizzati per la distribuzione del carico utile e la crittografia dei dati.

Di recente, il 27 giugno 2022, LockBit ha rilasciato la terza versione del suo progetto e sembra che siano state incluse molte nuove funzionalità. 

Ad esempio, una cosa principale da notare che differisce dalla versione 2.0 è il fatto che il gruppo ha escogitato un altro modo per fare pressione ed estorcere le sue vittime. Come altri gruppi di minacce, LockBit opera principalmente attraverso il proprio DLS (Data Leak Site) dove gestisce e si occupa delle vittime delle sue operazioni. Finora, a queste vittime veniva concesso un periodo di tempo ben definito per pagare il riscatto richiesto. 

Nel progetto 3.0 il collettivo sembra aver incluso nuove possibilità di negoziazione; Infatti, pagando una tariffa specifica è ora possibile estendere il timer di 24 ore, distruggere tutti i dati dal sito Web o scaricare tutti i dati subito.

Questo potrebbe essere un modo per coprire anche la tecnica dell’estorsione, non rendendo pubblico il prezzo di riscatto effettivo. 

Fondamentalmente, stanno massimizzando i soldi che possono ottenere da ogni vittima. Un altro aspetto interessante di questa terza versione è il Programma Bug Bounty; questa sembra essere un’iniziativa mai avviata da nessun altro gruppo prima. 

Il gruppo non solo offre ricompense per aver trovato vulnerabilità o per doxxing dei manager, ma è anche gratificante per “idee brillanti” da aggiungere al RaaS. Attualmente, però, è da segnalare che il gruppo sta continuando ad aggiornare anche il DLS LockBit 2.0, dove si sono recentemente aggiunte nuove vittime.

LockBit 3.0

Cluster25 ha ottenuto un campione di LockBit 3.0 e lo ha analizzato per comprenderne le funzionalità e il comportamento. Nel corso dell’analisi sono emerse anche interessanti somiglianze tra questa versione e campioni relativi ad altre famiglie di ransomware ( BlackMatter / DarkSide ) che potrebbero suggerire una possibile correlazione tra gruppi di minacce alla base dello sviluppo di questo malware

La nuova versione di LockBit ( Lockbit 3.0 o LockBitBlack ) utilizza un meccanismo di protezione del codice che consiste nella presenza di sezioni crittografate, così da ostacolare il rilevamento del malware, soprattutto se effettuato tramite analisi automatizzate. 

Per attivare la corretta esecuzione del malware, deve essere fornita come parametro ( -pass ) una chiave di decrittazione. Senza questa chiave il suo comportamento provoca solo un arresto anomalo del software. La chiave di decrittazione utilizzata per il campione analizzato è riportata di seguito:

db66023ab2abcb9957fb01ed50cdfa6a

All’avvio del programma, la prima subroutine chiamata ( sub_41B000 ) si occupa di eseguire la decrittazione delle sezioni del binario, recuperando la chiave di decrittazione dai parametri di esecuzione e facendola passare attraverso un algoritmo RC4 Key Scheduling Algorithm (KSA)

Successivamente, si accede alle sezioni da decrittare leggendo il Process Environment Block (PEB) e la decrittazione avviene, secondo quanto riportato nel codice seguente:

Un meccanismo di anti-analisi implementato dal malware riguarda il caricamento dinamico delle API Win32 necessarie per eseguire il suo comportamento dannoso. 

La subroutine responsabile del caricamento e della mappatura delle API necessarie in memoria è analizzabile solo sulla versione decrittografata/decompressa del malware. 

Il modo in cui le API vengono risolte consiste in una chiamata ad una subroutine ( sub_407C5C ) che riceve in input una stringa offuscata XORed con la chiave 0x4506DFCA , in modo da decriptare il nome dell’API Win32 da risolvere.

Inoltre, l’analisi ha mostrato un’interessante somiglianza tra questa subroutine e quella utilizzata nel ransomware BlackMatter. 

Infatti, i suddetti passaggi di decrittazione sono presenti in entrambi i malware, come visibile anche nello screenshot sottostante, tratto da un campione BlackMatter :

L’analisi ha mostrato anche altre sezioni del codice simili tra i campioni di Lockbit 3.0 e BlackMatter, suggerendo una possibile correlazione tra i gruppi di minacce alla base dell’implementazione dei due ransomware. 

Per ostacolare l’analisi, LockBit 3.0 utilizza anche l’offuscamento delle stringhe , che viene eseguito tramite un semplice algoritmo di decrittazione ( XOR ). Per quanto riguarda la crittografia dei file , il ransomware utilizza un approccio multi-thread. 

I file vengono crittografati con AES, in caso di file di grandi dimensioni, non tutto il contenuto viene crittografato, ma solo una parte delle sezioni in esso contenute. Inoltre i file vengono rinominati sostituendo i nomi dei file e la loro estensione con stringhe dinamiche e statiche casuali: con il campione analizzato, l’estensione utilizzata era .HLJkNskOqe i nomi dei file sono stati sostituiti da stringhe casuali di 7 caratteri (ad esempio TIe9pEW.HLJkNskOq ). 

Inoltre, ai file crittografati viene associata una nuova icona, che viene scritta sul disco in un file immagine .ico nella directory C:\ProgramData, sotto il nome HLJkNskOq.ico

La richiesta di riscatto è scritta in ogni directory contenente file crittografati. Afferma che i dati vengono rubati e crittografati e che se il riscatto non viene pagato verrà pubblicato sulla darknet. 

La richiesta di riscatto contiene anche gli URL .onion del sito Web TOR e indica alla vittima di contattare gli aggressori utilizzando i siti Web forniti e l’ID personale. Come al solito, la richiesta di riscatto avverte che l’eliminazione o la modifica dei file crittografati ne impedirà la decrittazione.

Infine, al termine del processo di crittografia, anche lo sfondo della vittima viene modificato con l’immagine sottostante, che indica alla vittima di leggere la richiesta di riscatto:

Inoltre, LockBit 3.0 ha anche la capacità di stampare una versione della sua richiesta di riscatto utilizzando stampanti collegate utilizzando le API WinSpool, come si può vedere dal processo splwow64.exe lanciato dopo l’esecuzione del malware. Il file stampato è mostrato di seguito:

Infine, una delle ultime operazioni eseguite dal malware consiste nell’impostare una notevole quantità di modifiche nelle chiavi del Registro di Windows, in modo da disabilitare il monitoraggio di eventi come quello associato a Windows Defender. 

Queste modifiche possono essere rintracciate nelle sottochiavi del registro a partire da

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Channels\

Dove la sottochiave Enabled associata a ciascun log è impostata su 0 .

Conclusioni

Il progetto LockBit 3.0 è la prova dell’estremo dinamismo del business dei ransomware. 

Potenzialmente, il gruppo sembra aver acquisito competenze da altri gruppi che hanno operato attivamente nel settore in passato. Interessanti le sovrapposizioni di codice tra campioni di famiglie diverse, in particolare quello BlackMatter.

Pur tuttavia, i rapporti tra i due gruppi non sono casuali; a settembre 2021 venne osservato un attacco coordinato gestito simultaneamente dai membri dei gruppi LockBit e DarkMatter. Nonostante l’osservazione di attacchi simultanei possa essere considerata un evento abbastanza comune nel mondo dei ransomware, questo conferma ancora una volta l’alto grado di complessità dell’ecosistema ransomware di lingua russa che molto spesso si basa sui rapporti personali tra i diversi team. 

Inoltre, a novembre 2021, BlackMatter chiude le sue attività e dichiara la cessazione della propria attività. Quando la banda di BlackMatter ha lasciato le operazioni, diversi membri del team sono stati trasferiti su altre partnership RaaS, in particolare LockBit. 

Cluster25 ha rilevato il coinvolgimento diretto dei rappresentanti di LockBit nell’acquisizione dei membri del gruppo BlackMatter, in quel momento in fase di liquidazione, come riportato dall’immagine sottostante.

ATT&CK MATRIX

TACTICTECHNIQUEDESCRIPTION
Initial AccessT1566.001Phishing: Spearphishing Attachment
ExecutionT1106Native API
ExecutionT1204.002User Execution: Malicious File
Privilege EscalationT1134Access Token Manipulation
Defense EvasionT1622Debugger Evasion
Defense EvasionT1140Deobfuscate/Decode Files or Information
Defense EvasionT1112Modify Registry

INDICATORS OF COMPROMISE

CATEGORYTYPEVALUE
PAYLOADSHA25680e8defa5377018b093b5b90de0f2957f7062144c83a09a56bba1fe4eda932ce
PAYLOADSHA1f2a72bee623659d3ba16b365024020868246d901
PAYLOADMD538745539b71cf201bb502437f891d799

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.