Τι είναι το BlackCat Ransomware:

Το BlackCat (επίσης γνωστό ως ALPHV, Noberus) ανιχνεύθηκε για πρώτη φορά τον Νοέμβριο του 2021 και θεωρείται ένας από τους πιο εξελιγμένους και απειλητικούς τύπους κακόβουλου λογισμικού του 2021 και του 2022. Ωστόσο, προς το τέλος του 2022 ο αριθμός των υπολογιστών που μολύνθηκαν από τον BlackCat μειώθηκε κατά 28% σε σχέση με προηγούμενους χρόνους.

Το BlackCat είναι το πρώτο καταξιωμένο κακόβουλο λογισμικό που έχει γραφεί στη γλώσσα προγραμματισμού Rust, μια νέα γλώσσα η οποία κερδίζει δημοτικότητα λόγω της υψηλής απόδοσής της. Το BlackCat σχετίζεται με τις παραλλαγές ransomware BlackMatter και DarkSide όσον αφορά τον πηγαίο κώδικα. Οι δημιουργοί του BlackCat διαφημίζουν το ransomware σε ενδιαφερόμενους σε ιδιωτικά φόρουμ, όπως τα φόρουμ του darknet XSS, Exploit Forum και RAMP5, όπου αναζητούν νέους κυβερνοεγκληματίες για να ενταχθούν στις τάξεις τους.

Αυτό το άρθρο δείχνει πώς ανιχνεύεται το BlackCat ransomware σε συσκευές Windows χρησιμοποιώντας το Cyber Radar.

Ενέργειες που κανει το BlackCat ransomware:

Το BlackCat είναι ένα ευέλικτο κακόβουλο λογισμικό που λειτουργεί μέσω γραμμής εντολών και ελέγχεται από ανθρώπους. Διαθέτει τη δυνατότητα να χρησιμοποιεί διάφορες τεχνικές κρυπτογράφησης. Παρακάτω παρουσιάζονται μερικές από τις σημαντικές συμπεριφορές του κακόβουλου λογισμικού:

  • Το BlackCat ransomware χρησιμοποιεί ένα access token για να εκτελεστεί. Το access token είναι ένα τυχαίο επιλεγμένο token 32-byte. Παρακάτω παρατίθεται ένα παράδειγμα μιας εντολής που εκτελεί το BlackCat

  • Το BlackCat παρακάμπτει τον έλεγχο πρόσβασης του χρήστη (User Access Control – UAC) όταν ένας λογαριασμός χρήστη χωρίς διαχειριστικά προνόμια το εκτελεί. Τρέχει μια δευτερεύον διεργασία υπό το dllhost.exe με τις απαραίτητες άδειες για να κρυπτογραφήσει ένα μεγάλο αριθμό αρχείων σε ένα παραβιασμένο μηχάνημα.
  • Το BlackCat ανακαλύπτει και άλλες συσκευές στο ίδιο δίκτυο αποστέλλοντας ένα μήνυμα broadcast NetBIOS Name Service (NBNC). Το κακόβουλο λογισμικό στη συνέχεια χρησιμοποιεί το PsExec για να προσπαθήσει να μολύνει τους διακομιστές.
  • Το BlackCat αυξάνει τον αριθμό των εκκρεμών αιτημάτων πελάτη SMB που επιτρέπονται. Ορίζει το όριο μέγιστων συνδέσεων πελάτη σε 65535, τροποποιώντας το Μητρώο (Windows Registry) για να αλλάξει τις ρυθμίσεις MaxMpxCt. Χρησιμοποιεί την παρακάτω εντολή για να ορίσει το MaxMpxCt σε 65535:

  • Το BlackCat τερματίζει διεργασίες και διακόπτει υπηρεσίες. Για παράδειγμα, χρησιμοποιεί την εντολή cmd.exe /c “iisreset.exe /stop” για να διακόψει την υπηρεσία πληροφοριών διαδικτύου στον διακομιστή (Server).
  • Το BlackCat τροποποιεί το boot loader για να αποτρέψει την ανάκτηση και την αυτόματη επισκευή στο μηχάνημα των Windows. Απενεργοποιεί τη λειτουργία boot ανάκτησης χρησιμοποιώντας την ακόλουθη εντολή:

  • Το BlackCat χρησιμοποιεί το wevtutil.exe για να καθαρίσει τα αρχεία καταγραφής γεγονότων των Windows προκειμένου να αποτρέψει την ανάλυση. Εκτελεί την παρακάτω εντολή για να καθαρίσει τα αρχεία καταγραφής γεγονότων:

  • Απενεργοποιεί και διαγράφει τις υπηρεσίες Volume Shadow Copy Service και Hyper-V Volume Shadow Copy Requestor Service. Το BlackCat χρησιμοποιεί την εντολή wmic.exe για να διαγράψει τις shadow copies σε όλα τα volumes. Χρησιμοποιεί την παρακάτω εντολή:

Εντοπισμός του BlackCat:

Το Cyber Radar έχει δύο τεχνικές εντοπισμού του BlackCat τα εξής παρακάτω:

File Integrity Monitoring (FIM): Ανιχνεύει τα αρχεία όταν δημιουργούνται, διαγράφονται ή αλλάζουν και καταγράφει τα hash των αρχείων χρησιμοποιώντας SHA1, MD5, SHA256 και IMPHASH. Κατόπιν συγκρίνει τα hash όλων των αρχείων με τη βάση δεδομένων μας (Threat Intelligence) και αν κάποιο hash ταυτιστεί με αυτο του Pandora θα δημιουργηθεί η αντίστοιχη ειδοποίηση στο Dashboard του Cyber Radar και αμέσως θα διαγραφεί αυτόματα.

Καταγραφή και αξιολόγηση συμβάντων στα Windows: Το Cyber Radar έχει την δυνατότητα να εντοπίζει αυτές τις ενέργειες που αναφεραμε όταν γίνονται σε ένα σύστημα και οταν εντοπίζονται δημιουργείται η αντίστοιχη ειδοποίηση στο Dashboard. Οι ειδοποιησεις αναλύονται και αξιολογούνται και κατόπιν πραγματοποιούνται οι απαραίτητες ενέργειες για την αντιμετώπιση του συμβάντος.