Quem plantou a semente do Ransomware ALPHV/BlackCat Ransomware ?

Em dezembro de 2021, os pesquisadores descobriram um novo ransomware-as-a-service chamado ALPHV (também conhecido como “ BlackCat ”), considerado o primeiro grupo profissional de crimes cibernéticos a criar e usar uma variedade de ransomware escrita na linguagem de programação Rust .

Neste post, exploraremos algumas das pistas deixadas por um desenvolvedor que foi supostamente contratado para codificar a variante do ransomware.

Imagem: Herói.

De acordo com uma análise divulgada esta semana pela Varonis , a ALPHV está recrutando ativamente operadores de várias organizações de ransomware – incluindo REvil , BlackMatter e DarkSide – e está oferecendo aos afiliados até 90% de qualquer resgate pago por uma organização vítima.

“O site de vazamento do grupo, ativo desde o início de dezembro de 2021, nomeou mais de vinte organizações de vítimas no final de janeiro de 2022, embora o número total de vítimas, incluindo aquelas que pagaram um resgate para evitar a exposição, seja provavelmente maior”, Jason Hill , da Varonis. escreveu.

Uma preocupação sobre mais malware mudando para Rust é que ele é considerado uma linguagem de programação muito mais segura em comparação com C e C++, escreve Catalin Cimpanu para The Record . O resultado? Os defensores da segurança estão constantemente procurando por pontos fracos de codificação em muitas variedades de ransomware e, se mais começarem a se mudar para o Rust, pode ficar mais difícil encontrar esses pontos fracos.

Pesquisadores da Recorded Future dizem acreditar que o autor do ALPHV/BlackCat esteve anteriormente envolvido com o infame cartel de ransomware REvil de alguma forma. No início deste mês, o governo russo anunciou que, a pedido dos Estados Unidos, prendeu 14 indivíduos na Rússia considerados operadores do REvil .

Ainda assim, o REvil continua apesar dessas ações, de acordo com Paul Roberts da ReversingLabs . “As recentes prisões NÃO levaram a uma mudança notável nas detecções de arquivos maliciosos REvil”, escreveu Roberts. “Na verdade, as detecções de arquivos e outros módulos de software associados ao ransomware REvil aumentaram modestamente na semana seguinte às prisões do serviço de inteligência russo FSB.”

Enquanto isso, o Departamento de Estado dos EUA tem uma recompensa permanente de US$ 10 milhões por informações que levem à identificação ou localização de quaisquer indivíduos que ocupem cargos importantes de liderança no REvil.

QUEM É BINRS?

Recentemente, uma fonte confidencial teve uma conversa privada com um representante de suporte que responde a perguntas e dúvidas em vários fóruns de crimes cibernéticos em nome de um grande e popular programa de afiliados de ransomware. O representante da afiliada confirmou que um codificador para ALPHV era conhecido pelo nome “ Binrs ” em vários fóruns em russo.

No fórum de crimes cibernéticos RAMP , o usuário Binrs diz que é um desenvolvedor Rust que está programando há 6 anos. “Minha pilha é Rust, nodejs, php, golang”, disse Binrs em um post introdutório, no qual eles afirmam ser fluentes em inglês. Binrs então assina a postagem com seu número de identificação para o ToX , um serviço de mensagens instantâneas peer-to-peer.

Esse mesmo ToX ID foi reivindicado por um usuário chamado “ smiseo ” no fórum russo BHF, no qual smiseo anuncia um malware “clipper” escrito em Rust que troca o endereço bitcoin do invasor quando a vítima copia um endereço de criptomoeda para a área de transferência temporária de seu computador.

O apelido “ YBCat ” anunciava o mesmo ToX ID no Carder[.]uk, onde esse usuário reivindicou a propriedade da conta do Telegram @CookieDays e disse que poderia ser contratado para fazer o desenvolvimento de software e bot “de qualquer nível de complexidade”. A YBCat vendia principalmente “instalações”, oferecendo aos clientes pagantes a capacidade de carregar malware de sua escolha em milhares de computadores invadidos simultaneamente.

Há também um usuário ativo chamado Binrs no fórum de crime russo wwh-club[.]co que diz ser um codificador Rust que pode ser contatado na conta @CookieDays Telegram.

No fórum russo Lolzteam, um membro com o nome de usuário “ DuckerMan ” usa a conta do Telegram @CookieDays em sua assinatura. Em um tópico, o DuckerMan promove um programa de afiliados chamado CookieDays, que permite que as pessoas ganhem dinheiro fazendo com que outras pessoas instalem programas de criptomineração infectados com malware. Em outro tópico, DuckerMan está vendendo um programa diferente de seqüestro de área de transferência chamado Chloe Clipper.

O programa de ganhar dinheiro CookieDays.

De acordo com a empresa de inteligência de ameaças Flashpoint , o usuário do Telegram DuckerMan empregou outro pseudônimo – Sergey Duck . Essas contas eram mais ativas nos canais do Telegram “Venda de Contas Bancárias”, “Comunidade de desenvolvedores de malware” e “Raidforums”, um popular fórum de crimes cibernéticos em inglês.

EU SOU DUCKERMAN

A conta do GitHub para um Sergey DuckerMan lista dezenas de repositórios de código que esse usuário postou online ao longo dos anos. A maioria desses projetos foi escrita em Rust e o restante em PHP, Golang e Nodejs — as mesmas linguagens de codificação especificadas pelo Binrs no RAMP. A conta Sergey DuckerMan GitHub também diz que está associada à conta “DuckerMan” no Telegram.

Perfil do GitHub de Sergey DuckerMan.

Sergey DuckerMan deixou muitos elogios para outros programadores no GitHub — 460 para ser exato. Em junho de 2020, por exemplo, o DuckerMan deu uma estrela a uma variedade de ransomware de prova de conceito escrita em Rust .

O perfil do Github de Sergey DuckerMan diz que sua conta de mídia social no Vkontakte (versão russa do Facebook/Meta) é vk.com/duckermanit . Esse perfil é restrito apenas a amigos, mas afirma que pertence a um Sergey Pechnikov de Shuya, na Rússia .

Uma olhada no perfil do Duckermanit VKontakte no Archive.org mostra que até recentemente ele tinha um nome diferente: Sergey Kryakov . A imagem de perfil atual na conta Pechnikov mostra um jovem de pé ao lado de uma jovem.

O KrebsOnSecurity entrou em contato com Pechnikov em russo transliterado por meio do recurso de mensagem instantânea integrado ao VKontakte.

“Já ouvi falar do ALPHV”, respondeu Pechnikov em inglês. “Parece muito legal e estou feliz que o Rust se torne cada vez mais popular, mesmo na esfera do malware. Mas não tenho nenhuma conexão com ransomware.”

Comecei a explicar as pistas que levaram à sua conta VK e como um importante agente cibercriminoso no espaço do ransomware confirmou que Binrs era um desenvolvedor principal do ALPHV ransomware.

“Binrs nem é programador”, interveio Pechnikov. “Ele/ela não pode ser um DuckerMan. Eu sou DuckerMan.”

B.K.: Certo. Bem, de acordo com o Flashpoint, o usuário do Telegram DuckerMan também usou o pseudônimo Sergey Duck.

Sergey: Sim, sou eu.

BK: Então você já pode ver como cheguei ao seu perfil?

Sergey: Sim, você é um investigador muito bom.

BK: Percebi que este perfil costumava ter um nome diferente anexado a ele. Um ‘Sergey Kryakov.’

Sergey: Era meu antigo sobrenome. Mas odiei tanto que mudei.

BK: O que você quis dizer com Binrs nem é programador?

Sergey: Não encontrei nenhuma [de] contas dele em sites como GitHub/stack overflow. Não tenho certeza, a binrs vende Rust Clipper?

BK: Então você conhece o trabalho dele! Suponho que, apesar de tudo isso, você afirma que não está envolvido na codificação de malware?

Sergey: Bem, não, mas tenho algumas “conexões” com esses caras. Falando em Binrs, venho pesquisando sua personalidade desde outubro também.

BK: Interessante. O que fez você querer pesquisar sua personalidade? Além disso, ajude-me a entender o que você quer dizer com “conexões”.

Sergey: Eu acho que ele é na verdade um grupo de algumas pessoas. Eu escrevi para ele no telegrama de diferentes contas, e sua maneira de falar é diferente. Talvez alguns deles de alguma forma ligados com ALPHV. Mas em fóruns (eu verifiquei apenas XSS e Exploit) suas formas de falar são as mesmas.

B.K: …..

Sergey: Eu não sei como explicar isso. By the way, binrs agora está realmente em silêncio, acho que ele está mentindo. Bem, isso é tudo que eu sei.

Sem dúvida ele é. Eu gostava de falar com Sergey, mas também tinha dificuldade em acreditar na maior parte do que ele dizia. Além disso, eu estava incomodado que Sergey não tivesse exatamente contestado a lógica por trás das pistas que levaram à sua conta VK. Na verdade, ele afirmou várias vezes que estava impressionado com a investigação.

Em muitas histórias anteriores do Breadcrumbs , é comum neste momento o entrevistado alegar que estava sendo armado ou enquadrado. Mas Sergey nunca lançou a ideia.

Perguntei a Sergey o que poderia explicar todas essas conexões se ele não estivesse de alguma forma envolvido na codificação de software malicioso. Sua resposta, nossa troca final, foi novamente equívoca.

“Bem, tudo o que tenho é código no meu github”, respondeu ele. “Portanto, pode ser usado [por] qualquer pessoa, mas não acho que meus projetos sejam adequados para malwares.”

Atualização, 29 de janeiro, 16h26 ET: Sergey Duckerman excluiu sua conta do GitHub. Enquanto isso, o usuário Binrs foi (preventivamente?) banindo seu perfil de vários fóruns de crimes cibernéticos onde eles estavam ativos anteriormente.

Fonte: https://krebsonsecurity.com/