bl00dy-ransomware - RunkIntel

# Bl00dy Ransomware > [!high] Ransomware de dupla extorsão ativo desde maio de 2022, notório por explorar vulnerabilidades críticas em servidores expostos e usar código-fonte vazado de grupos como LockBit, Babuk e Conti para construir seus encriptadores. ## Visão Geral O Bl00dy Ransomware emergiu em maio de 2022 como mais um operador de dupla extorsão que, ao invés de desenvolver encriptadores proprietários, optou por reutilizar código-fonte vazado de operações como LockBit, Babuk e Conti. Essa estratégia reduziu o custo de entrada no mercado de ransomware e permitiu ao grupo focar seus esforços na exploração ativa de vulnerabilidades para obtenção de acesso inicial. Em maio de 2023, o FBI e a CISA emitiram um alerta conjunto destacando campanhas ativas do grupo contra o setor educacional americano, onde a vulnerabilidade crítica [[cve-2023-27350|CVE-2023-27350]] no PaperCut NG e PaperCut MF (CVSS 9.8) foi explorada para obter acesso administrativo a servidores de impressão. O alerta revelou que aproximadamente 68% dos servidores PaperCut expostos na internet pertenciam ao subsetor de instalações educacionais, tornando-o um alvo privilegiado. Uma característica operacional distinta do Bl00dy é o uso do Telegram para públicar dados roubados - em vez dos sites de vazamento na dark web que são a norma entre grupos de ransomware. O grupo cria notas de resgate nos sistemas comprometidos e exige pagamento em criptomoeda pela descriptografia e pela promessa de não públicar ou vender os dados. Embora o impacto direto para o Brasil ainda seja limitado, o modelo operacional do Bl00dy - baseado em exploração de software empresarial amplamente utilizado - representa uma ameaça relevante para organizações de ensino superior e saúde no país que utilizam plataformas de gestão de impressão como o PaperCut. ## Como Funciona O Bl00dy opera sob o modelo de dupla extorsão: encripta os arquivos das vítimas e simultaneamente exfiltra dados sensíveis. A ameaça de públicar os dados serve como pressão adicional para o pagamento do resgate. ### Attack Flow - Campanha PaperCut 2023 ```mermaid graph TB A["🎯 Reconhecimento Identificação de servidores PaperCut expostos"] --> B["💥 Exploração CVE-2023-27350 CVSS 9.8 - RCE sem autenticação Bypass da classe SetupCompleted"] B --> C["🔧 Acesso Administrativo Execução de comandos via interface de script PaperCut"] C --> D["📥 Download de Ferramentas RMM legítimo via cmd.exe e powershell.exe elevados"] D --> E["🌐 C2 via Tor/Proxies DiceLoader, TrueBot Cobalt Strike Beacons"] E --> F["📤 Exfiltração de Dados Movimentação lateral na rede corporativa"] F --> G["🔒 Encriptação Arquivos .bl00dy Nota de resgate"] G --> H["📢 Extorsão Publicação de dados via Telegram"] ``` ## TTPs Principais | Fase | Técnica MITRE | Descrição | |------|--------------|-----------| | Acesso Inicial | [[T1190-exploit-public-facing-application\|T1190]] | Exploração do CVE-2023-27350 no PaperCut | | Execução | [[T1059-command-and-scripting-interpreter\|T1059]] | Criação de processos cmd.exe e powershell.exe privilegiados | | Persistência | [[T1219-remote-access-software\|T1219]] | Instalação de software RMM legítimo | | Comando e Controle | [[T1090-proxy\|T1090]] | Comúnicação via Tor e outros proxies | | Comando e Controle | - | Uso de DiceLoader, TrueBot e Cobalt Strike Beacons | | Exfiltração | [[T1041-exfiltration-over-c2-channel\|T1041]] | Dados exfiltrados antes da encriptação | | Impacto | [[T1486-data-encrypted-for-impact\|T1486]] | Encriptação com extensão `.bl00dy` | ## Encriptadores Utilizados O Bl00dy não desenvolveu encriptador próprio. Utiliza código-fonte vazado de: - **[[lockbit-ransomware\|LockBit]]** - versão inicial do encriptador do grupo - **[[babuk-ransomware\|Babuk]]** - utilizado em variantes posteriores - **Conti** - também observado em variantes da família Esse modelo de reutilização de código é cada vez mais comum entre grupos de ransomware de menor porte, reduzindo o custo operacional e acelerando o tempo de desenvolvimento. ## CVE Explorada > [!critical] CVE-2023-27350 - PaperCut MF/NG (CVSS 9.8) > Vulnerabilidade crítica de RCE sem autenticação no PaperCut. Permite que um ator não autenticado execute código malicioso remotamente ao explorar controles de acesso impróprios na classe Java `SetupCompleted`. Afetou versões 8.0.0 a 22.0.8. Patch disponível desde março de 2023. ## Perfil do Grupo O grupo Bl00dy Ransomware Gang: - Criou conta dedicada no **Telegram** em julho de 2022 - Iniciou públicação de dados de vítimas em agosto de 2022 - Foca em organizações que possuem alta probabilidade de pagar resgate - Tentou atacar também setores de **saúde**, **consumer goods**, **professional services** e **IT** - Usa Tor e proxies para mascarar tráfego de rede malicioso ## Detecção e Defesa ### Mitigações Prioritárias 1. **Aplicar patch imediatamente** no PaperCut MF/NG para versões >= 20.1.7, 21.2.11 ou 22.0.9 2. **Monitorar processos filhos** criados por servidores PaperCut (cmd.exe, powershell.exe) 3. **Bloquear comúnicações Tor** na borda da rede 4. **Detectar instalações não autorizadas** de software RMM (AnyDesk, TeamViewer, etc.) 5. **Implementar segmentação de rede** para limitar movimentação lateral ### Indicadores de Comprometimento > [!ioc]- IOCs - Bl00dy Ransomware / CVE-2023-27350 (TLP:GREEN) > **Extensão de arquivos encriptados:** > `.bl00dy` > > **Processos suspeitos (filhos do PaperCut):** > `cmd.exe /c [comando malicioso]` > `powershell.exe -enc [base64]` > > **Ferramentas C2 observadas:** > DiceLoader, TrueBot, Cobalt Strike Beacons > > **Comportamento de rede:** > - Conexões de saída via Tor (porta 9001/9050) > - Comúnicação com proxies externos não usuais > > **Fontes:** [CISA/FBI Advisory](https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-131a) · [BleepingComputer](https://www.bleepingcomputer.com/news/security/fbi-bl00dy-ransomware-targets-education-orgs-in-papercut-attacks/) ## Linha do Tempo ```mermaid timeline title Bl00dy Ransomware - Principais Eventos 2022-05 : Grupo emerge com primeiros ataques 2022-07 : Canal Telegram criado para operações 2022-08 : Início das publicações de dados no Telegram 2023-04-18 : Primeira exploração observada do CVE-2023-27350 2023-05 : Campanha ativa contra setor educacional EUA 2023-05-11 : Alerta conjunto FBI e CISA emitido ``` ## Referências - [CISA/FBI Joint Advisory AA23-131A](https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-131a) - [BleepingComputer - FBI: Bl00dy Ransomware targets education orgs](https://www.bleepingcomputer.com/news/security/fbi-bl00dy-ransomware-targets-education-orgs-in-papercut-attacks/) - [The Hacker News - Bl00dy Ransomware Gang Strikes Education Sector](https://thehackernews.com/2023/05/bl00dy-ransomware-gang-strikes.html) - [Security Affairs - Bl00dy Gang Targets Education Sector](https://securityaffairs.com/146154/cyber-crime/bl00dy-ransomware-targets-education-sector.html)