Que-es-un-builder-de-ransomware-y-que-encontramos-en-el-builder-de-Lockbit-3-Behacker.jpg

¿Qué es un builder de ransomware y qué encontramos en el builder de Lockbit 3?

Deja un comentario / analisis forense, Ciberseguridad, Educación, Empresas, Forense Digital, Malware, Ransomware / Por / 8 de septiembre de 2023

El equipo GERT de Kaspersky, mediante el análisis de múltiples muestras relacionadas con la familia de ransomware Lockbit 3 también conocida como Lockbit Black, ha confirmado que diferentes grupos han “abusado” de la filtración de builders o aplicaciones para configurar y empaquetar nuevas versiones del malware, con el objetivo de hacerse pasar por nuevas bandas encargadas de secuestrar Información sin tener que pagar comisiones al grupo detrás de la familia de Ransomware as a Service RaaS.

Contenidos ocultar
1 ¿Qué es un Builder en términos de Malware?
2 Resultados generales de la Investigación
2.1 Otros detalles del análisis permitieron identificar que:
3 Suscríbete hoy a nuestros cursos Exploratorios
4 Síguenos en Redes Sociales
5 Introducción a la Seguridad en AI – Parte 2
6 Introducción a la Seguridad en AI
7 5 pilares para Hackers o Profesionales en Ciberseguridad desde una perspectiva técnica
7.1 Comparte esto:

 

Durante la celebración de BSidesCO 2023 tuve la oportunidad de presentar un adelanto de este trabajo, desarrollado junto con Francesco Figurelli, pero en esta ocasión quiero resaltar elementos importantes de la investigación después de la publicación con los detalles de la investigación y resultados.

¿Qué es un Builder en términos de Malware?

Un Builder se refiere a una aplicación capaz de crear nuevas versiones del Malware sin la necesidad de conocimientos en programación y presentando, generalmente, una interfaz gráfica intuitiva para habilitar o deshabilitar funcionalidades del nuevo payload.

Estos builder permiten incluso usar llaves de descifrado para su ejecución de tal forma que, al invocar la nueva pieza de malware sin contar con la llave, el malware se inhibe y de esta forma hace más complicado su análisis y detección por algunos esquemas de monitoreo.

Resultados generales de la Investigación

El análisis ha demostrado la existencia de al menos dos versiones distintas de builders expuestas por diferentes usuarios de la red social X.
 
Que-es-un-builder-de-ransomware-y-que-encontramos-en-el-builder-de-Lockbit-3-img1
Que-es-un-builder-de-ransomware-y-que-encontramos-en-el-builder-de-Lockbit-3-img1-B
 
Uno de los objetivos de la investigación fue el de validar las acciones ejecutadas por parte del builder sobre los payloads; el builder incluye el malware en diferentes versiones y se encarga de extraerlo, crear el archivo de configuración, embeberlo dentro del payload y, en caso de haber sido seleccionado por el atacante, cifrar la muestra con una clave buscando evitar su análisis y evadir controles de seguridad.
 
Que-es-un-builder-de-ransomware-y-que-encontramos-en-el-builder-de-Lockbit-3-img2

En palabras de los analistas de Kaspersky, el análisis de los payloads compilados del ransomware es más complicado por las diferentes técnicas integradas de protección y la posibilidad de protegerlos con llaves de ejecución. 

Pero el builder es una herramienta pensada para ser ejecutada por los integrantes del RaaS y sus afiliados, de tal forma que no cuenta con técnicas de protección y facilita comprender su comportamiento.

El trabajo desarrollado por Francesco Figurelli permitió identificar que la configuración siempre es agregada al payload en una sección de nombre “.pdata” y que esta configuración es cifrada mediante una llave XOR y luego comprimida antes de ser integrada en el payload.
 
Que-es-un-builder-de-ransomware-y-que-encontramos-en-el-builder-de-Lockbit-3-img3
 
La llave de cifrado depende de dos llaves aleatorias junto con otros valores fijos embebidos en el código fuente del mismo binario.
 
Que-es-un-builder-de-ransomware-y-que-encontramos-en-el-builder-de-Lockbit-3-img4
 
Una vez identificado el procedimiento de extracción, los analistas procedieron a determinar los diferentes parámetros de configuración registrado, algunos de ellos fácilmente interpretables debido al nemónico utilizado, pero otros requirieron un análisis mayor determinando su correlación con el formulario de construcción.
Que-es-un-builder-de-ransomware-y-que-encontramos-en-el-builder-de-Lockbit-3-img5
 
Con la descripción de los parámetros, tipos de datos, su interpretación y definido el procedimiento de extracción, los analistas obtuvieron 396 muestras distintas, con la finalidad de realizar un análisis estadístico de las configuraciones y los metadatos de los binarios.

El análisis permitió identificar que junto a los payloads embebidos en los builders expuestos, se identificaron otras muestras con fechas de compilación distintas, esto indica la existencia de otros builders, posiblemente utilizados por los afiliados del grupo ciber criminal. 

Además, el procedimiento para extraer la configuración funcionó de igual forma para estos nuevos payloads facilitando el análisis.

Que-es-un-builder-de-ransomware-y-que-encontramos-en-el-builder-de-Lockbit-3-img6

Otros detalles del análisis permitieron identificar que:

  • Muchos de los parámetros identificados corresponden a la configuración por defecto del builder, solamente algunos cambios menores. Esto indica que las muestras fueron compiladas principalmente para resolver “necesidades urgentes” o que estamos hablando de actores perezosos que no se esforzaron en la configuración de las muestras.
  • El tipo objetivo de encriptación más recurrente son los discos locales (Discos C:, D:, E:, etc.), carpeta de red compartidas evitando el cifrado de carpetas ocultas.
  • Los siguientes parámetros son habilitados de forma recurrente:
    • kill service
    • kill process
    • kill defender
    • delete logs
    • self-destruct
  • Muchas de las muestras no habilitaban la opción de apagar el sistema después del cifrado.
  • EL despliegue en red mediante PSEXEC fue configurado en el 90% de las muestras y el despliegue mediante GPO fue configurado en el 72%.
EL procedimiento descrito y la validación de su funcionamiento en cualquier version de la familia de RaaS LockBit Black es una oportunidad para determinar de forma oportuna Indicadores de Compromiso (IoC), establecer estrategias de detección y enriquecer las investigaciones conociendo datos específicos de la configuración del malware. 

Dentro del análisis también se identificaron diferentes notas de ransomware que no incluían enlaces a la infraestructura generalmente configurada por el grupo original detrás del malware. 

Esto confirma que múltiples grupos decidieron adicionar su propia forma de extorsión y pago de secuestro, aprovechando la capacidad del malware para cifrar archivos, evitando su desencriptación sin contar con las llaves de los atacantes.
behackerpro-pentesting-aprende-ciberseguridad

Suscríbete hoy a nuestros cursos Exploratorios

¡Descubre cuál es tu perfil Hacker!

¡Quiero Registrarme Gratis!

Síguenos en Redes Sociales

Facebook Twitter Youtube Instagram Linkedin

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *