Descriptografando o ransomware CatB e seus métodos de ataque

Observada no final de 2022, a família de ransomware CatB usa uma técnica específica para evitar a detecção e ser executada livremente. Em comparação com outras famílias de malware, a CatB conta com características únicas e seu componente de carregamento executa verificações básicas de evasão antes de ser executado. Dessa forma garante que não está sendo rodado em um ambiente de análise ou sandbox.

O grupo começou a chamar a atenção pelo uso de sequestro de DLL por meio do Microsoft Distributed Transaction Coordinator (MSDTC) para extrair e lançar cargas de ransomware. Além disso, a semelhança nas notas de resgate e as modificações realizadas pelas cargas de ransomware, indicam que o ransomware CatB é uma evolução ou reformulação do Pandora, ransomware ativo no começo de 2022.

O CatB procura por arquivos específicos com base em uma lista de extensões que podem ser criptografadas. Isso feito, ele anexa a nota de resgate a cada um desses arquivos que, de acordo com essas notas, são criptografados com RSA com chave criptográfica de 2048 bits.

Análise do ransomware CatB

A cadeia completa do ransomware CatB ainda é desconhecida, mas o mecanismo de infecção conta com uma DLL maliciosa que é executada em um sistema e inicia verificações básicas de evasão para reduzir a possibilidade de ser detectado em ambientes de análise. Então, o conta-gotas (versions.dll) coloca a carga útil do ransowmare (oci.dll) no diretório System32.

Com três verificações primárias para determinar o local onde a carga útil está sendo executada, o ransomware verifica o tipo e tamanho da RAM física, tipo e tamanho dos discos rígidos físicos e combinações não usuais e anômalas dos processadores e núcleos. O conta-gotas também realiza verificações anti-análise para detectar se o malware está sendo executado em um ambiente virtual ou de testes antes de injetar o oci.dll malicioso ao msdtc.exe na reinicialização do sistema.

Isso feito, as cargas do ransomware CatB usam a técnica conhecida como sequestro de ordem de pesquisa de DLL para descartar e carregar sua carga maliciosa. Para isso, usa uma vulnerabilidade de carregamento lateral de DLL do serviço Microsoft Distributed Transaction Coordinator (MSDTC) conhecida há mais de dois anos para a execução do código como um processo confiável – o MSDTC já foi utilizado para fins maliciosos anteriormente. O malware PingBach, por exemplo, utilizava a mesma técnica que o CatB para contornar sistemas de segurança.

O ransomware CatB, então, exclui alguns arquivos e extensões do processo de criptografia: .msi, .dll, .sys, .iso e NTUSER.DAT, e configura os volumes de disco local que serão criptografados da mesma forma. Isso indica, pelo menos até o momento, que o desenvolvedor do malware não busca danificar o sistema da vítima, mas apenas manter os arquivos sequestrados até que o pagamento seja realizado.

Uma outra característica única do ransomware CatB é que, diferentemente de outros grupos, não há uma nota de resgate separada e não é realizada alterações no papel de parede e extensões de arquivo. No lugar disso, o grupo insere uma nota de resgate a cada arquivo criptografado indicando que a única forma de contatar o agente de ameaça é pelo e-mail fornecido. Da mesma forma, é fornecido apenas um endereço Bitcoin (BTC) para o pagamento do resgate, que é definido para aumentar o valor diariamente, durante cinco dias e, no caso do não pagamento, a partir do quinto dia, os dados são perdidos permanentemente.

Roubo de credenciais e dados

O ransomware CatB, além de criptografar e sequestrar arquivos, também procura coletar informações dos sistemas, incluindo dados de credenciais e sessões do navegador. Ele descobre e extrai informações sobre os favoritos, listas de bloqueios, logs, histórico e dados de perfil do usuário, informações sobre preenchimento automático, registros de sessão e outras informações nos navegadores Firefox, Chrome, Edge e Internet Explorer.

Variações das campanhas

Amostras retiradas pela SentinelOne de uma campanha do ransomware CatB de novembro de 2022, apresentam apenas uma alteração em relação aos ataques atuais, que diz respeito ao e-mail de contato que aparece na nota de resgate. Da mesma forma, os recursos exibidos nas notas são idênticos, menos o endereço de pagamento BTC e também o requisito para envio de chave em c\users\public\key, o que indica que podem ser uma versão anterior ou de teste do ransomware.

O ransomware CatB

O ransomware CatB, assim como outras ameaças recentes, se junta uma extensa linha de famílias de ransomware que adotam técnicas seminovas e comportamentos atípicos, como anexar notas ao cabeçalho de cada arquivo criptografado, que podem ser implementados visando dificultar a detecção e a análise. Por exemplo, alguns ambientes, para detectar a presença de ransomware, dependem da aparência das notas de resgate para gerar um alarme sobre um possível ataque.

Exatamente por isso, ransomwares como o CatB deixam clara a importância de uma sandbox resistente à evasão, o que garante que amostras de verificação sejam adequadamente analisadas para detectar comportamento malicioso.  Apesar disso, a ameaça pode ser facilmente detectada por uma solução XDR/EDR moderna e configurada corretamente para gerar alertas assim que um ataque de ransomware CatB ocorrer no ambiente.

A plataforma SentinelOne Singularity é ideal para prevenir e proteger contra comportamentos maliciosos associados ao ransomware CatB e a outras ameaças.  A plataforma oferece:

Prevenção

Com modelos criados a partir de inteligência artificial para identificar com precisão códigos de ransomware e malware antes do ataque iniciar.

Active EDR

Voltado para criar um contexto crítico para detecção e resposta proativas em tempo real e caça a ameaças de longo prazo de forma amigável.

IoT

Permite a descoberta de dispositivos rogue Ranger ® IoT para fornecer visibilidade em todos os dispositivos de rede gerenciados e não gerenciados e controle.

Workload

Garante a proteção, visibilidade e controle completo da migração de cargas de trabalho para uma infraestrutura de nuvem privada e pública.

A plataforma SentinelOne reduz a remediação das aplicações de 2,5 horas para apenas 15 minutos, simplifica a geração de relatórios com as métricas certas e integra a segurança com o desenvolvimento de aplicações para garantir a segurança desde o início do desenvolvimento do aplicativo. Entre em contato com os especialistas da Evolutia e agende uma demonstração.

VGB

 

A transformação começa agora.

Política de Privacidade

Onde estamos

Rua Pais Leme, 215, sala 418, Pinheiros – São Paulo
CEP: 05424-150

© Evolutia – Todos os direitos reservados.

Desenvolvido pela Intelligenzia