20 Juillet 2023
Similitudes entre underground et industrialspy
Articles
Afin de répondre à plusieurs questions qui nous ont été soumises, nous avons passé un peu plus de temps sur la souche Underground présentée précédemment.
DeepEngine et dataset personnalisé
Ayant quelques soupçons de rapprochement avec la famille de ransomware IndustrialSpy, nous avons créé un dataset personnalisé dans GLIMPS Malware, composé de souches industrialSpy, auquel nous avons confronté la souche Underground.
Le module d’analyse Deep Engine retrouve alors quelques fonctions similaires entre les souches.
Après étude des fonctions se trouvant aux adresses relevées par le Deep Engine, il semble que ces match correspondent aux fonctions de chiffrement ainsi que d’auto-effacement des traces d’exécution.
Rétroconception
Headers et composition
Chacun des samples analysés emporte les sections suivantes :
Timeline d’exécution Underground
Lors de son exécution, ce ransomware effectue les actions dans l’ordre suivant :
1- Process tree
Le classique des ransomwares, le delete shadow copies qui permet d’entraver les processus de récupération et de restauration qui reposent sur ces copies.
Cette action permet de modifier le paramètre de durée maximale de déconnexion pour une session de bureau distant.
Le malware utilise net.exe pour stopper les services MSSQL. Ainsi il a tout le loisir pour chiffrer les fichiers de base de données sans risquer d’erreur pour accès concurrent.
2- Environnement
Le ransomware instancie un nouveau thread lui permettant d’identifier son environnement d’exécution en s’appuyant sur des API de kernel32.dll : FindFirstVolumeW, GetVolumePathNamesForVolumeNameW, GetVolumeInformationW, FindNextVolumeW.
3- Ecriture de la ransom note
L’étape suivante est l’inscription de la note de rançon sous la forme d’un fichier !!readme!!.txt …
… qui apparaitra ainsi lors de l’exécution :
The Underground team welcomes you!
We would like to inform that your network has been tested by us for vulnerabilities.
Poor network security could cause your data to be lost forever.
Your files are currently encrypted, they can be restored to their original state with a decryptor key that only we have.
The key is in a single copy on our server.
Attempting to recover data by your own efforts may result in data loss.
It is important not to change their current state. Each file additionally has a unique cipher, which you can restore only with our help.
We also examined your infrastructure and downloaded the most sensitive data.
The list of hosts from which the information was downloaded:
– 172.—.—.77 (N—0.tpa.local)
– 172.—.—.51 (S—2.TPA.LOCAL)
– 172.—.—.75 (N—1.tpa.local)
– 172.—.—-.85 (N—5.tpa.local)
– 172.—.—.87 (N—4.tpa.local)
– 10.—.—.30 Synology (access via OpenVPN 46.—.—.77:1–4)
———————————-
-email communications with clients that contain confidential agreements
-accounting and tax reports for each client
-audit documents
-companys and clients financial documents
-clients passports/ID’s and private information
-documents contain privileged and confidential information
-password-protected documents from a bank
-payroll data
-company financial and performance data
-employees personal information (Tc Identification Numbers)
The total amount of downloaded information more than 200 Gb
If you do not contact us within 3 days, or we cannot reach an agreement, all data will be published
on a site that no one can block.
Confidential data can be helpful for your competitors, enemies and darknet market hackers from over the world.
The consequences will be unpredictable and the process cannot be stopped.
Information about data leaks is bound to get into the media. Your company’s reputation will be damaged.
We value and respect every business, including yours.
Therefore, we suggest you avoid further negative consequences and return to your work as soon as possible.
We guarantee a fair and confidential deal in the shortest possible time.
You will not only receive a decryptor, but also a description of your network vulnerabilities and information security recommendations. If necessary, you will be provided with qualified data recovery assistance.
You can trust us! Reputation is important to everyone.
As a proof of our statements, we are ready to restore some files for free and
demonstrate how our product works.
Best regards, Underground team !
Contacts for communication via chat:
login to your account
(Tor Browser)
http://undgrddapc4reaunnrd[….]xawaoqd[.]onion/
your login: T—A
your password: 7——-i
your ID: dc6cb———7a8417a2
4- Itération des fichiers à chiffrer
Ensuite, il passe à l’étape de chiffrement à proprement parler.
Il effectue une itération des fichiers à chiffrer par une boucle basée sur FindFirstFileW et FindNextFileW
Le chiffrement ne semble être effectué qu’à partir d’un tri préalable.
Une whitelist nommée VIPInfo.txt est prévue (probablement pour éviter de chiffrer certains fichiers sensibles qui nuiraient à la stabilité du système).
Fait notable, un certain nombre de répertoires, en liens avec les navigateurs web (microsoft, chrome, mozilla et opera) écartés du process de chiffrement.
Enfin, l’appel à l’api PathFindExtensionW nous indique que certaines extensions ne sont pas prises en compte par le process de chiffrement.
Une probable réflexion des attaquants : “Comment payer la rançon si le chiffrement a rendu le pc de la cible inutilisable ?!?”
5- Chiffrement des données
Nous voici au cœur du ransomware, la brique de base de chiffrement.
On y distingue aisément 3 blocs qui intègrent un même pattern (rotations de bits avec shl/shr ou rol, du xor …) assez caractéristique d’une implémentation cryptographique.
6- Effacement des traces d’exécution
Enfin, un fichier temp.cmd est créé et exécuté. Cette action constitue la fonction d’effacement des traces d’exécution.
L’exécution est faite via CreateProcessA permettant d’instancier un nouveau processus avec le même contexte d’exécution tout en libérant le fichier d’origine. Il peut donc maintenant effacer le ransomware (ou tout autre fichier placé en paramètre du script del %1) ainsi que lui même (del %0)
Une subtilité apparait dans la version Underground qui implémente une fonctionnalité supplémentaire basée sur l’utilitaire wevtutil.exe permettant d’effacer des EVTX (journaux d’évènements). Il itère sur l’option le qui va lui donner la liste des journaux en lien avec sa propre exécution et il va utiliser l’option cl pour tenter de les effacer.
temp.cmd InternalSpy :
temp.cmd Underground :
Similitudes entre Underground et IndustrialSpy
La rétroconception confirme la similarité trouvée par notre module Deep Engine entre les briques suivantes :
– les algorithmes de chiffrement
– le procédé de bypass de certaines extensions de fichier
– la méthode d’auto-effacement des traces
Eléments de contexte
IndustrialSpy fait son apparition en mars 2022.
Comme l’indique par ailleurs l’analyse effectuée par HarfangLab, la communication IndustrialSpy sur la vente des données volées, repose sur 3 sections dans leur market place.
– Section premium : l’archive de données est mise à prix fort et ne peut être téléchargée qu’une fois. Elle est ensuite supprimée de leur serveurs.
– Section générale : Si l’archive ne trouve pas preneur en premium elle est mise à prix plus faible et pour plusieurs acheteurs. Elle est par contre conservée par le groupe.
– Section Free : l’archive est publiée gratuitement et complètement.
Industrial spy est un ransomware qui semble avoir été distribué en 2 temps, d’abord une version debug avec les charges inactives permettant probablement aux attaquants de dimensionner l’impact, puis une version active.
A ce jour, la marketplace sur TOR n’est plus accessible, tout du moins sur l’adresse connue.
Hypothèse concernant la killchain Underground
Certains indices issus des différentes analyses ainsi que la lettre de rançon, qui comporte des indicateurs de la cible, nous mènent à penser que ce ransonmware est diffusé de manière ciblée, en tous cas en ce qui concerne sa charge finale.
Ainsi, nous pouvons émettre une hypothèse quand à sa méthode de diffusion dont le vecteur d’infection initial passe probablement par des emails.
En s’appuyant sur un procédé qui permet d’abaisser le niveau de vigilance de l’utilisateur (un document avec des macros ou autre par exemple), l’installation sur le poste client d’un outil de type RAT devient possible. Cela permet à l’attaquant d’effectuer l’environnement des ressources accessibles depuis ce poste. Une fois ces informations recueillies, les attaquants peuvent ensuite générer le ransomware sur mesure.
Conclusion
Notre primo analyse nous indiquait que nous étions bien face à un ransomware diffusé par le groupe Underground jusqu’à alors méconnu.
A l’aide des résultats de l’analyse approfondie, un rapprochement entre cette nouvelle famille Underground et IndustrialSpy est mis en lumière ; notamment sur le procédé de chiffrement ainsi que sur la méthode de déploiement d’un artéfact d’effacement de traces.
En outre nous sommes face à un groupe d’attaquants Underground qui utiliserait du code similaire à un ransomware existant et y a ajouté de nouvelles méthodes pour personnaliser sa charge finale ce qui en fait une forme de nouveau variant.
Il ne semble pas que le code source de IndustrialSpy ait fuité, ainsi nous pouvons nous poser la question suivante: ce groupe d’attaquants est-il constitué d’anciens membres de IndustrialSpy ou, ont-ils simplement profité d’une fuite du code source non identifiée ? Comme souvent en cybersécurité, nous ne pouvons que formuler des ensembles d’hypothèses, mais d’autres données (par exemple de télémétrie, d’informations sur les serveurs de C&C, etc…) pourront permettre d’orienter les conclusions vers l’une ou l’autre de ces options.
Annexes
Sources:
https://www.harfanglab.io/articles-en/industrial-spy-ransomware-detected-by-harfanglab-edr
https://www.zscaler.com/blogs/security-research/technical-analysis-industrial-spy-ransomware
N’hésitez pas à nous contacter pour en savoir plus : contact@glimps.re