BlackCat ransomware uses new ‘Munchkin’ Linux VM in stealthy attacks

Publicado hace 10 meses 20-10-2023

El Ransomware Blackcat ha comenzado a utilizar una nueva herramienta llamada ‘Munchkin’, utiliza maquinas virtuales para implementar cifrados en dispositivos de red de forma sigilosa.
Los investigadores de Unit42 han adquirido una instancia que es única ya que está cargada en una máquina virtual (VM) Alpine personalizada. Esta nueva táctica de aprovechar una máquina virtual personalizada para implementar malware ha ido ganando terreno en los últimos meses, lo que permite a los actores de amenazas de ransomware para eludir las soluciones de seguridad al implementar sus cargas útiles de malware.
Blackcat lanzo una nueva herramienta llamada ‘Munchkin’. La familia de malware ha seguido evolucionando y los operadores de amenazas emplean más capacidades y mecanismos de ofuscación.
Los beneficios de este enfoque incluyen eludir cualquier control de seguridad o protección establecidos en el sistema operativo host, como el software antivirus.
El uso de máquinas virtuales para ejecutar malware es una tendencia creciente dentro de la comunidad de ransomware. Se ha informado que otras organizaciones de ransomware también aprovechan esta nueva táctica como por ejemplo: RagnarLocker.
La imagen 1 es un diagrama de cómo funciona la utilidad Munchkin. Virtualbox se instala en el host de la víctima y carga la máquina virtual/ISO personalizada. A partir de ese punto, los recursos compartidos remotos de SMB se cifran y también se envían copias del ransomware BlackCat a máquinas remotas.
¿Cómo funciona Munchkin?
La utilidad Munchkin se entrega como un archivo ISO, que se carga en una instancia recién instalada del producto de virtualización VirtualBox. Este archivo ISO representa una implementación personalizada del sistema operativo Alpine, que los operadores de amenazas probablemente eligieron debido a su tamaño reducido. Al ejecutar el sistema operativo, los siguientes comandos se ejecutan en el arranque:

Posteriormente genera una nueva sesión de terminal a través de la utilidad tmux incorporada, que se utiliza para ejecutar el binario de malware llamado controller. Una vez que el malware completa su ejecución, apaga la VM.

El malware del controlador está alojado en el directorio /app, junto con otros archivos relacionados.
Además de los archivos mencionados, una gran cantidad de scripts de Python están presentes directamente en /usr/ bin, que los operadores de BlackCat pueden usar en actualizaciones posteriores dentro de la VM para movimientos laterales, volcado de contraseñas y posterior ejecución de malware en la red de la víctima.

El malware controlador está escrito en el lenguaje de programación Rust, tras la ejecución, inicialmente descifrará numerosas cadenas utilizando una operación XOR única de un solo byte.
La imagen 2 es una comparación de dos capturas de pantalla de código. La captura de pantalla de la izquierda es la original. La captura de pantalla de la derecha es el código de ejecución que se descifra.

Una vez descifradas las cadenas, la amenaza realizará comprobaciones básicas para garantizar que los archivos de configuración y carga útiles esperados residan en el directorio /app . Luego, la amenaza analizará el archivo /app/config . En caso de que alguno de estos archivos no esté presente o no se puedan analizar, el malware saldrá con un mensaje de error.

El archivo /app/config contiene una gran cantidad de información, incluida la siguiente, que la muestra de malware del controlador utiliza posteriormente:

  • Token de acceso
  • Identificadores de tareas
  • Credenciales de la víctima (incluidos nombres de usuario, contraseñas y dominios)
  • URL de víctimas de BlackCat
  • Tipos de archivos y rutas bloqueados
  • Hosts y recursos compartidos a los que apuntar para el cifrado
Una vez analizada la configuración, el controlador crea y monta el directorio /payloads/, que utiliza para alojar instancias de BlackCat creadas posteriormente. El controlador utiliza el /app/payload mencionado anteriormente como plantilla para crear muestras personalizadas de BlackCat.
La imagen 3 es una comparación de dos muestras de BlackCat. A la izquierda está el archivo de plantilla BlackCat. Muchas de las líneas están resaltadas en azul. A la derecha está la muestra después de la modificación. Muchas de las líneas están resaltadas en rojo.
Los archivos creados se basan en la configuración proporcionada.
  • /payloads/0
  • /payloads/1
Una vez creadas estas cargas útiles, el malware procede a recorrer la configuración proporcionada con la intención de infectar cualquier unidad SMB/CIFS especificada.
 

Recomendaciones

Indicadores de compromiso:
•    /aplicación/controlador - Binario Munchkin    1a4082c161eafde7e367e0ea2c98543c06dce667b547881455d1984037a90e7d
•    /app/payload - Código auxiliar de BlackCat    b4dd6e689b80cfcdd74b0995250d63d76ab789f1315af7fe326122540cddfad2
•    /scripts/smb_common.py - Clases SMB de Python    41c0b2258c632ee122fb52bf2f644c7fb595a5beaec71527e2ebce7183644db2
•    /scripts/smb_copy_and_exec.py - Copia de Python SMB/Script ejecutivo    2e808fc1b2bd960909385575fa9227928ca25c8665d3ce5ad986b03679dace90
•    /app/payload - Código auxiliar de BlackCat    b4dd6e689b80cfcdd74b0995250d63d76ab789f1315af7fe326122540cddfad2
 

Referencias

El nombre es requerido.
El email es requerido.
El email no es válido.
El comentario es requerido.
El captcha es requerido.



Comentarios

BOLETINES DESTACADOS

Vulnerabilidades en VMware (CVE-2024-38812 Critica 9.8, CVE-2024-38813 Alta 7.5)
Publicado hace 8 horas 19-09-2024

Broadcom ha publicado el pasado 17 de septiembre un aviso de seguridad en el que se mencionan 2 vulnerabilidades que afectan a su software de virtualización VMware. Específicamente, las vulnerabilidades son:  CVE-2024-38812, con un puntaje CVSS de 9.8, se cl......

Incidente de Seguridad Fortinet
Publicado hace 1 semana 12-09-2024

Fortinet, uno de los principales actores en el sector de la ciberseguridad, ha confirmado una violación de datos tras la afirmación de un atacante de haber sustraído archivos del servidor Microsoft SharePoint de la compañía. Como una de las emp......

Vulnerabilidades Criticas en Productos Microsoft CVE-2024-38220, CVE-2024-43491
Publicado hace 1 semana 12-09-2024

Microsoft, al igual que otros fabricantes, calendariza sus noticias sobre seguridad cada segundo martes de cada mes, lo cual llaman "Patch Tuesday". En este mes de septiembre de 2024, publicó en su página de Security Update Guide su aviso sobre ciberseguri......

BOLETINES RECIENTES

...
Vulnerabilidades en VMware (CVE-2024-38812 Critica 9.8, CVE-2024-38813 Alta 7.5)
Publicado hace 8 horas 19-09-2024
Leer más
...
Incidente de Seguridad Fortinet
Publicado hace 1 semana 12-09-2024
Leer más
...
Vulnerabilidades Criticas en Productos Microsoft CVE-2024-38220, CVE-2024-43491
Publicado hace 1 semana 12-09-2024
Leer más