A mediados del 2023 se encontraron nuevas variantes de BlackHunt que afectaron a algunas compañías en Latam. BlackHunt es un ransomware identificado hace relativamente poco, se tiene registros de infecciones que datan desde mediados de Noviembre del 2022. Según algunos análisis, se han encontrado notables similitudes con el código filtrado del ransomware Conti-2, sugiriendo que BlackHunt podría ser una variante derivada de dicho código.
Aquí encontrará todo lo que sabemos sobre BlackHunt Ransomware para que pueda mantenerse un paso por delante de este grupo de ransomware.
El malware realiza el cifrado del sistema y renombra los archivos adicionando las extensiones .black o .hunt2 y el siguiente patrón posterior al nombre original del archivo:
[<ID_Victim_random{16}>].[<email>].Black
[<ID_Victim_random{16}>].[<email>].hunt2
Algunos ejemplos:
[38KUrKcCw3UptBH5].[ txxx@onionmail.com ].Black
Se realiza cifrado sobre documentos en formato MS Office, OpenOffice, PDF, texto, databases, fotos, música, videos e imágenes.
Al finalizar el proceso de cifrado se copia un grupo de archivos por defecto:4
<random>.exe - random name of the malicious file;
#BlackHunt_ReadMe.hta - name of the file with the ransom demand;
#BlackHunt_Update.txt - name of the file with the ransom demand;
#BlackHunt_Private.key, #BlackHunt_Public.key - files from the key;
#BlackHunt_Update.hta - another HTA file;
#BlackHunt_Logs.txt - action log. Locations: \Desktop\ -> \User_folders\
-> \%TEMP%\ ->
Nota de extorsión versión .txt 10/2023
Entrada de registro asociados al malware:
Registry entries associated with this Ransomware:
HKEY_LOCAL_MACHINE\Software\Classes\Black
HKEY_LOCAL_MACHINE\Software\Classes\Black
"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" /v
{2C5F9FCC-F266-43F6-BFD7-838DAE269E11}" /t REG_SZ /d
"C:\ProgramData\#BlackHunt_ReadMe.hta" /f
"HKEY_LOCAL_MACHINE\Software\Classes\.Black\DefaultIcon" /ve /t REG_SZ /d
"C:\ProgramData\#BlackHunt_Icon.ico"
"HKEY_LOCAL_MACHINE\Software\Classes\Black\DefaultIcon" /ve /t REG_SZ /d
"C:\ProgramData\#BlackHunt_Icon.ico" /f
"HKEY_LOCAL_MACHINE\Software\Classes\Black" /f
And others, see test results below. Mutexes: See analysis results below. Network connections and communications:
Email: tset@gmail.com, tset2@gmail.com
TTPs
Las infecciones con las últimas variantes han utilizado conexiones RDP expuestas con vulnerabilidades como principal vector de entrada, sin embargo este ransomware como la mayoría de los actuales también aprovecha vulnerabilidades en la superficie de exposición sobre otros servicios, compra de credenciales y campañas de spread phishing. A continuación se muestran algunos ejemplos de los TTP que utiliza BlackHunt.
IoC de red conocido y confirmado asociado con este grupo de ransomware hasta ahora:
hxxx://sdjf982lkjsdvcjlksaf2kjhlksvvnktyoiasuc92lf[.]onion
Ataques como este suelen ocurrir sin previo aviso, pero los ciberdelincuentes siempre dejan pistas. Comprender la matriz MITRE y los TTP asociados le ayudará a determinar si su organización es un objetivo.
En INFORC ECUADOR contamos con servicios, capacitaciones y programas de entrenamiento a los usuarios, para eso te invitamos a concretar una reunión con nuestros especialistas en: https://lnkd.in/e2UTJK92
RECURSOS
2. https://1-id--ransomtranslate.goog/2022/11/blackhunt-ransomware.html?_ware-blogspot-com.x_tr_enc= 1&_x_tr_sl=ru&_x_tr_tl=en&_x_tr_hl=ru&_x_tr_pto=wapp