Alerta por actividad de BlackMatter Ransomware (aka DarkSide) en Chile

ACTUALIZACIÓN (17/08): Se agrega la configuración de la muestra de BlackMatter Ransomware utilizada en el ataque a importante organización educacional en Chile.

ACTUALIZACIÓN (16/08): De acuerdo al reporte enviado al proveedor de hosting Namecheap, hemos logrado desactivar el dominio mojobiden[.]com, utilizado por BlackMatter Ransomware como servidor C2.

Sobre BlackMatter

BlackMatter Ransomware es el ‘rebranding’ de DarkSide, el mismo grupo que atacó a Colonial Pipe el 6 de Mayo y que paralizó el suministro de combustible a la Costa Este de Estados Unidos, debido a esto, el presidente Joe Biden declaró estado de emergencia el domingo 9 de Mayo. Luego del ataque a Colonial Pipe, DarkSide desapareció del mapa y se descubrió que el nuevo grupo emergente BlackMatter Ransomware eran finalmente los mismos actores en un intento por evadir acciones legales y seguimiento contra ellos.

En Julio de 2021, uno de los representantes de BlackMatter realizó el siguiente post en un foro underground con el fin de reclutar gente para poder trabajar como pentesters y/o vendedores de acceso a compañias de terceros.

Ciberataque en Chile

El día 12 de Agosto, nuestra plataforma para el monitoreo contínuo de ciberamenazas ATR, detectó una nueva víctima de BlackMatter Ransomware, esta vez en territorio nacional.

Luego de cifrar la información, los atacantes piden un rescate inicial de USD $6.000.000 hasta el 20 de Agosto, en caso contrario, el valor subiría al doble. También afirman la exfiltración de 500 GB de datos privados.

Los operadores del ataque utilizaron una credencial de servicio para propagar el ransomware por la red, luego de exfiltrar cerca de 500 GB de información sensible desde la organización.

A continuación se muestra la nota de rescate dejada por los acatanes en los equipos.

BlackMatter se comunica con uno de los servidores de comando y control (C2) para enviar y recibir información relacionada a la organización, configuración, archivos afectados, credenciales utilizadas para la propagación en la red interna y otros parametros necesarios para la administración de los datos.

Al ingresar al portal privado del ataque, se pueden ver detalles como por ejemplo el valor exigido por el rescate de la información y el plazo que han dado los atacantes para que la organización responda.

Configuración del Ransomware

De acuerdo a la muestra obtenida del ataque en Chile, logramos extraer la configuración de BlackMatter, la cual se puede visualizar completa en https://pastebin.com/FHajhi8R.

Indicadores de Compromiso

• nowautomation[.]com (5.39.3.130)
• mojobiden[.]com (51.79.243.236)
• paymenthacks[.]com (206.188.197.206)

Recomendaciones de Seguridad

• Realice respaldos regularmente y almacenelos de forma segura.
• Manténga el software actualizado y parche inmediatamente vulnerabilidades altas y críticas.
• Implemente un programa de concientización en Ciberseguridad.
• Mantenga un monitoreo continuo de ciberamenazas y detección de vectores de acceso.
• Segmente la red e implemente 2FA/MFA para todos los accesos remotos y servicios críticos.
• Mantenga un plan de recuperación ante desastres actualizado y probado.
• Implemente un servicio de Ciberinteligencia y Pentesting continuo.

Regla Yara

rule MAL_BlackMatter_Windows   
   {   
    meta:   
    author = "LKAYE, Insikt Group, Recorded Future"   
    date = "2021-07-28"   
    description = "Rule to detect BlackMatter ransomware Windows payload"   
    version = "1.0"   
    RF_MALWARE = "BlackMatter Ransomware"   
    RF_MALWARE_ID = "jQYVGc"   
    strings:   
    $s1 = {81 30 ed 5f 06 22} //special XOR value for string obfuscation and import obf   
    $s2 = {69 13 05 84 08 08 42} //part of decoding function IMUL and INC   
    $s3 = {b9 46 f4 ad 89 81 f1 ed 5f 06 22} //check for 0xABABABAB, XORed vals   
    $s4 = {b8 a8 58 0d 04 35 ed 5f 06 22} //xor vals for HeapCreate function call   
    $s5 = {c7 00 c8 5f 75 22 c7 40 04 c3 5f 54 22 c7 40 08 a8 5f 47 22 c7 40 0c a9 5f 4b 22 c7 40 10 a8 5f 28 22 c7 40 14 99 5f 7e 22   
   c7 40 18 99 5f 06 22} //bytestring for README.txt   
    condition:   
    uint16(0) == 0x5a4d and   
    filesize > 60KB and   
    all of them   
   }

Referencias

• https://blog.digital-investigations.info/2021-08-05-understanding-blackmatters-api-hashing.html
• https://go.recordedfuture.com/hubfs/reports/MTP-2021-0804.pdf
• https://www.bleepingcomputer.com/news/security/darkside-ransomware-gang-returns-as-new-blackmatter-operation/
• https://malpedia.caad.fkie.fraunhofer.de/library?search=blackmatter

Germán Fernández

Threat Researcher en CronUp Ciberseguridad
Líder Red Team & Cyber Threat Intelligence.