Varonis | Segurança de dentro para fora

Ransomware SolidBit: Anatomia de um ataque

Escrito por Jason Hill | Feb 16, 2023 2:13:00 PM

Surgindo como uma ameaça relativamente nova, ativa aproximadamente desde julho de 2022, a raiz do ransomware SolidBit pode ser atribuída a um grupo de criadores de ransomware que passaram por várias iterações e mudanças de nome desde que foram observados pela primeira vez em junho de 2021 

Potencialmente trabalhando com o desenvolvedor desses criadores de ransomware anteriores, ou simplesmente adaptando o código-fonte para renomeá-lo para si mesmos, o SolidBit também ganhou atenção por imitar elementos da infame ameaça de ransomware LockBit, incluindo aparentemente copiar e colar elementos do site de bate-papo da vítima para um site malicioso, embora com uma sutil mudança de cor. 

Embora as primeiras indicações sugiram que o SolidBit tem visado indiscriminadamente indivíduos com aplicativos trojanizados, postagens mais recentes em fóruns de crimes cibernéticos indicam que os grupos de ransomware estão tentando trabalhar com afiliados que possuem habilidades de invasão que podem expandir o alcance da ameaça para ambientes corporativos. 

Como tal, este artigo detalha o que se sabe sobre a ameaça SolidBit, junto com indicadores comuns de comprometimento de ransomware. 

Origem do SolidBit 

Não está claro se o desenvolvedor original do ransomware Yashma está envolvido nesta variante do SolidBit ou se agentes mal-intencionados adquiriram e modificaram o código-fonte original. Independentemente disso, a origem dessa nova ameaça foi confirmada como Yashma em uma postagem no fórum (Figura 1), juntamente com detalhes limitados de recursos adicionais. 

Figura 1 – SolidBit confirmou que seu ransomware era uma variante do Yashma 

Como funciona 

Com base nas variantes anteriores, o SolidBit afirma ter adicionado a capacidade de criptografar dados em compartilhamento de rede e armazenamento removível, ambos recursos esperados para qualquer ameaça de ransomware moderna, especialmente aqueles direcionados a ambientes corporativos com dados valiosos e com menor probabilidade de serem armazenados em discos fixos locais. 

Um recurso um tanto novo introduzido pelo SolidBit é o registro da extensão de arquivo .solidbit que resulta em arquivos criptografados, tendo seu ícone original substituído por um ícone de cadeado verde (Figura 2). Uma nota de resgate (Figura 3) é exibida se a vítima tentar abrir o arquivo. 


Figura 2 – Ícone do arquivo .solidbit 


Figura 3 – Uma nota de resgate é exibida ao tentar abrir o arquivo criptografado 

Os recursos sugeridos para o futuro do SolidBit incluem a capacidade de ignorar o Windows User Account Control (UAC), que permite a escalação de privilégios e fornece os meios para se propagar pela rede, ambos os quais são novamente indicativos de uma mudança em direção a ambientes corporativos mais lucrativos em vez de usuários individuais domésticos. 

Assim como as variantes anteriores, o SolidBit continua a ter uma base de código .NET e, sem surpresa, faz uso de ferramentas de ofuscação de código disponíveis no mercado para complicar a análise. Notavelmente, ao contrário das variantes Yashma e Chaos observadas anteriormente, nossa análise identificou o uso de uma ferramenta aparentemente antiga, chamada “DeepSea Obfuscator 4.0”, em vez do .NET “Confuser” usando anteriormente. 

A desofuscação de amostras recentes do SolidBit revela um interessante artefato de compilador e namescape (Figura 4) dentro do código .NET que parece fazer referência a Eli Cohen [1], um espião israelense nascido no Egito, que usou o pseudônimo Kamel Amin Thaabet ao realizar operações de espionagem na Síria. 


Figura 4 – Espaço de nomes KamelAmenThaabet
 

Essa mesma referência também está presente em um artefato do compilador que indica que o nome foi usado para o projeto do ransomware: 

C:\Users\User\Desktop\kamel\KamelAmenThaabet\bin\Debug\Obfuscated\Solidbit.pdb

É importante não tirar conclusões precipitadas sobre quem está por trás disso ou onde o ransomware se originou, artefatos como esses costumam ser mais úteis na identificação de amostras adicionais do que na identificação dos responsáveis. 

Um usuário do Telegram vinculado ao SolidBit usou uma foto de perfil do programa da Netflix “La Casa de Papel” e, dado o fato de que a história de Eli Cohen foi dramatizada no filme também da Netflix “The Impossible Spy”, isso leva algumas pessoas à conclusão de que o SolidBit pode usar a programação da Netflix como inspiração para seus apelidos e identificadores. 

Entrega 

Observações iniciais indicam que o SolidBit adotou um método indiscriminado de entrega de Trojam disfarçado de ferramentas hospedadas no GitHub. As vítimas inocentes baixavam e executavam essas ferramentas, fazendo com que seus arquivos fossem criptografados. 

Supostamente focando em gamers e usuários de mídias sociais, essas iscas iniciais parecem ter como  alvo agentes de ameaças de baixa sofisticação – muitas vezes apelidados de script kiddies ou skids – por causa dos nomes de arquivos  de carga útil mais óbvios, incluindo termos como “verificador de conta” e “hacker social”. 

O SolidBit demonstrou intenção de operar como uma ameaça de ransomware como serviço (RaaS), inicialmente oferecendo acesso ao criador do ransomware, descriptografador e painel de controle baseado em TOR por US$ 200 (Figura 5), posteriormente reduzido para US$ 100. 


Figura 5 – Mensaem SolidBit Raas
 

Alguns membros do fórum responderam a este anúncio, mas o número real de posições afiliadas preenchidas não pode ser determinado. Também não está claro como o pagamento mínimo do resgate pode ser processado e dividido, ao contrário de outros grupos RaaS mais estabelecidos que recrutam afiliados adequadamente qualificados com a  promessa mais organizada de grandes lucros. 

Curiosamente, o contato do Telegram na postagem do fórum afiliado exibe o histórico da foto do perfil (Figura 6) e sugere alguma associação ao uso do RedLine Stealer, uma ameaça autônoma e de malware como serviço que coleta dados de credenciais, criptomoeda e cartão de pagamento de hosts comprometidos enquanto fornece recursos de backdoor e entrega de carga útil. 


Figura 6 – Histórico de fotos de perfil do Telegram
 

Embora não haja nada que vincule as duas famílias de malware, é possível que aqueles por trás do SolidBit possam usar ameaças de commodities, como ladrões, para coletar credenciais antes de entregar e executar sua carga útil de ransomware. 

Execução Inicial 

Verificação anti-depurador potencial 

Potencialmente, como uma contramedida anti-depuração, o SolidBit consulta o Registro do Windows (Figura 7) para aparentemente determinar se o depurador just-in-time (JIT) do Microsoft Visual Studio .NET está configurado, presumivelmente permitindo que o ransomware seja encerrado caso suspeite que está em análise. 


Figura 7 – Verificação anti-depuração potencial por meio do Registro do Windows
 

Mutex 

Quando o SolidBit é executado, um objeto de exclusão mútua (mutex) é criado usando um hash MD5 codificado da string “solid” (Figura 8) 


Figura 8 – Hash MD5 de mutex “solid” [2]
 

Isso garante que apenas uma instância do ransomware esteja em execução, com qualquer execução subsequente sendo encerrada para evitar conflitos. 

ID de descriptografia 

Depois que a ameaça determina que pode continuar a execução, é gerado um ID de descriptografia aleatório que pode ser usado para identificar posteriormente a vítima se ela entrar em negociação com a SolidBit por meio do bate-papo TOR. 

Esse identificador parece começar com um valor numérico seguido por um traço e 28 caracteres alfanuméricos maiúsculos aleatórios e é finalizado com k8. 

Regex: [0-9]{1,2}-[A-Z0-9]{28}k8

O valor numérico inicial parece estar codificado dentro da amostra (Figura 9) e pode significar uma versão afiliada ou do criador do ransomware. Até agora, os valores 1-, 5- e 12- foram observados na natureza. 


Figura 9 – Geração de ID de descriptografia
 

Ao contrário de outras ameaças, esse identificador não é baseado em nenhum identificador de máquina específico e, portanto, cada execução resultará na geração de um novo identificador. 

Persistência 

Usando o método comum de persistência de chave “Executar” do Registro do Windows, um novo valor chamado Update Task é criado dentro de ‘HKEY_CURRENT_USER’ e contém o caminho para o executável SolidBit 

Isso garante que o ransomware será executado automaticamente sempre que a vítima fizer logon. 

Fase de pré-criptografia 

Lista de arquivos 

Em preparação para a criptografia futura, o SolidBit determina quais unidades estão presentes no host da vítima e rastreia todos os diretórios. 

Dada a necessidade de exibir a nota de resgate e fazer com que a vítima se comunique com o agente de ameaça por meio do bate-papo baseado em TOR, os seguintes diretórios e arquivos principais do sistema são excluídos do processo de criptografia para que o host comprometido possa continuar funcionando: 

  • $Recycle.Bin 
  • AMD 
  • appdata\local 
  • appdata\locallow 
  • autorun.inf 
  • boot.ini 
  • boot.ini 
  • bootfont.bin 
  • bootmgfw.efi 
  • bootsect.bak 
  • desktop.ini 
  • Documents and Settings 
  • iconcache.db 
  • Intel 
  • MSOCache 
  • ntuser.dat 
  • ntuser.dat.log 
  • ntuser.ini 
  • NVIDIA 
  • PerfLogs 
  • Program Files 
  • Program Files (x86) 
  • ProgramData 
  • thumbs.db 
  • users\all users 
  • Windows 
  • Windows.old 

Encerramento do serviço 

Usando uma lista que é consistente com muitas ameaças modernas de ransomware, são feitas tentativas de interromper qualquer serviço do Windows que corresponda aos seguintes nomes para garantir que os arquivos de dados do aplicativo não sejam “bloqueados” abertos, ao mesmo tempo em que se tenta evitar a detecção e interromper os esforços de recuperação de dados: 

  • AcronisAgent 
  • AcrSch2Svc 
  • backup 
  • BackupExecAgentAccelerator 
  • BackupExecAgentBrowser 
  • BackupExecDiveciMediaService 
  • BackupExecJobEngine 
  • BackupExecManagementService 
  • BackupExecRPCService 
  • BackupExecVSSProvider 
  • CAARCUpdateSvc 
  • CASAD2DWebSvc 
  • ccEvtMgr 
  • DefWatch 
  • GxBlr 
  • GxCIMgr 
  • GxCVD 
  • GxFWD 
  • GxVss 
  • Intuit.QuickBooks.FCS 
  • memtas 
  • PDVFSService 
  • QBCFMonitorService 
  • QBFCService 
  • RTVscan 
  • SavRoam 
  • sophos 
  • sql 
  • stc_raw_agent 
  • svc$ 
  • TeamViewer 
  • veeam 
  • VeeamDeploymentService 
  • VeeamNFSSvc 
  • VeeamTransportSvc 
  • VSNAPVSS 
  • vss 
  • YooBackup 
  • YooIT 
  • zhudongfangy 

Como seria de se esperar de uma ameaça de ransomware moderna, os comandos nativos do Windows abaixo são executados para complicar ainda mais os esforços de recuperação antes de iniciar o processo de criptografia de arquivos: 

Excluir Shadow Copies: 

vssadmin delete shadows /all /quiet & wmic shadowcopy delete

Modificar a configuração de inicialização para ignorar falhas e desativar a opção de recuperação: 

bcdedit /set {default} bootstatuspolicy ignoreallfailures &
bcdedit /set {default} recoveryenabled no

Excluir o catálogo de backup: 

wbadmin delete catalog -quiet

Associação do tipo de arquivo 

Como mencionado anteriormente, o SolidBit inclui um recurso um tanto novo no qual a extensão de arquivo .solidbit é associada ao executável do ransomware para que cada arquivo criptografado tenha um ícone de cadeado e a vítima receba uma nota de resgate caso tente abrir esse arquivo. 

Para dar suporte a esse recurso, o executável do ransomware é copiado para o diretório ‘%APPDATA%’ e registrado junto com a extensão do arquivo em vários locais do Registro do Windows ‘HKEY_CURRENT_USER’ (detalhado na seção de indicadores de comprometimento). 

Fase de criptografia 

Após as fases iniciais, o SolidBit tenta criptografar cada arquivo usando a criptografia AES-256 no modo cipher block chaining (CBC) usando uma chave pública RSA codificada (Figura 10). 


Figura 10 – Chave pública RSA codificada
 

Em uma tentativa de impedir a recuperação de arquivos excluídos, o processo de criptografia lê o arquivo original e grava os dados criptografados em um novo arquivo com a extensão .solidbit. Após a conclusão desse processo, o arquivo original parece ter sido substituído e, em seguida, excluído. 

Bilhete de resgate 

Além de exibir a nota de resgate se um arquivo criptografado for aberto, uma nota de resgate baseada em texto chamada RESTORE-MY-FILES.txt é colocada em cada pasta que contém arquivos criptografados (Figura 11). 


Figura 11 – Nota de resgate
 

Conclusão 

Embora os recursos do SolidBit sejam semelhantes a outras ameaças de ransomware e o método de entrega atual seja menos provável de atingir usuários corporativos, os responsáveis parecem ter aspirações de mudar para o modelo de ransomware como serviço (RaaS), que pode incentivar afiliados com habilidades de intrusão de rede a participar. 

Como tal, a equipe de segurança deve se familiarizar com as táticas, técnicas e procedimentos comuns adotados pelo SolidBit e grupos semelhantes de ransomware para melhor proteger seus ambientes contra ataques. 

Indicadores de comprometimento 

Arquivos descartados 

RESTORE-MY-FILES.txt

Comandos executados

bcdedit /set {default} bootstatuspolicy ignoreallfailures &
bcdedit /set {default} recoveryenabled no
vssadmin delete shadows /all /quiet & wmic shadowcopy delete
wbadmin delete catalog -quiet

Arquivos (SHA256) 

Observação: as cargas de ransomware SolidBit são potencialmente específicas para vítimas ou afiliados. 
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Registro 

HKCU\SOFTWARE\Classes\.solidbit
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.solidbit
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\UpdateTask

Mutex

“solid" - ec03f91ae56e478455e3786e91559194

Referências 

[1] https://en.wikipedia.org/wiki/Eli_Cohen 
[2] https://gchq.github.io/CyberChef/#recipe=MD5()&input=c29saWQ 

Entre em contato com um dos nossos especialistas e agende uma demonstração gratuita da nossa plataforma. Saiba como a Varonis pode ajudar sua empresa.