Сигналът на правителството на САЩ преди три месеца, предупреждаващ бизнеса и правителствените агенции за заплахата от BlackByte, очевидно не е направил малко, за да забави дейностите на групата за рансъмуер.
От март групата и други банди, използващи нейния зловреден софтуер, продължават да атакуват цели по целия свят, преработвайки своя уебсайт, от който изтичат данни, откраднати от организации, и залавят нови жертви, според анализатори от Talos, разузнаването на заплахите на Cisco Systems група.
„Групата за рансъмуер и нейните филиали са заразили жертви по целия свят, от Северна Америка до Колумбия, Холандия, Китай, Мексико и Виетнам“, отбелязват ловците на заплахи в репортаж в сряда. „Talos наблюдава BlackByte от няколко месеца и можем да потвърдим, че те все още са активни, след като ФБР публикува съвместен съвет за киберсигурност.“
В това съвместно съобщение [PDF] на ФБР и американските тайни служби през февруари се отбелязва, че обхватът на BlackByte е международен и се посочва, че от ноември 2021 г. бандата е компрометирала субекти в най-малко три критични инфраструктурни сектора – правителствени съоръжения, финансови, храни и селско стопанство - в САЩ.
Изследователите на Talos смятат, че BlackByte е една от това, което те наричат „групите за рансъмуер за големи игри“, тези, които са насочени към големи и високопоставени организации, като не само ексфилтрират данните им, но и заплашват да ги изтекат публично в уебсайтове в тъмната мрежа, ако маркировките не бъдат не плащам искания откуп. Екипажът също управлява скрит от Tor сайт за аукцион .onion, където продава откраднати данни, според Unit42, звеното за лов на заплахи на Palo Alto Networks.
BlackByte се появи на сцената миналото лято и бързо си направи име сред други добре известни групи, като REvil и Conti, като се насочи към организации в Съединените щати и Европа в индустриални сектори като здравеопазване, енергетика, финансови услуги и производство. През февруари групата атакува мрежа от San Francisco 49ers, криптирайки данни и изтечейки някои файлове, за които твърдяха, че са откраднати от отбора по американски футбол.
Запознайте се с Wizard Spider, бандата за милиони долари зад Conti, злонамерен софтуер Ryuk
READ MOREПодобно на някои екипи, разпространяващи рансъмуер като Lockbit 2.0, BlackByte избягва насочването към системи, които използват руски и други източноевропейски езици, според Unit42,
Групата използва своя ransomware за собствена директна печалба и също така го предоставя на филиали чрез модел ransomware като услуга (RaaS). Той се натъкна на предизвикателство през октомври, когато доставчикът на киберсигурност Trustwave пусна софтуер, който позволи на жертвите на BlackByte да дешифрират данните си безплатно. По това време изследователите на Trustwave отбелязаха, че рансъмуерът на BlackByte е по-елементарен от този на други изнудвачи.
„За разлика от друг ransomware, който може да има уникален ключ във всяка сесия, BlackByte използва същия необработен ключ (който изтегля) за криптиране на файлове и използва алгоритъм със симетричен ключ – AES“, пише Team Trustwave. „За да декриптирате файл, трябва само необработеният ключ да бъде изтеглен от хоста. Докато .PNG файлът, който е изтеглил, остава същият, можем да използваме същия ключ за декриптиране на криптираните файлове.“
Кибермошениците очевидно се възстановиха до точката, в която ФБР и Тайните служби в предупреждението си очертаха техниките на BlackByte и подробно описаха дълъг списък от индикатори за компрометиране (IoC).
В публикация в блог през април Unit42 отбеляза агресивния характер на бандата, включително увеличение с 300 процента спрямо тримесечието през последните три месеца на 2021 г. в броя на атаките, свързани с нейния рансъмуер.
Поради естеството на високия профил и постоянния поток от атаки на BlackByte, идентифицирани в световен мащаб в началото на 2022 г., операторите и/или филиалите зад услугата вероятно ще продължат да атакуват и изнудват организации
"BlackByte ransomware operators have been active since at least July 2021," the researchers wrote. "Поради естеството на високия профил и постоянния поток от атаки на BlackByte, идентифицирани в световен мащаб в началото на 2022 г., операторите и/или филиалите зад услугата вероятно ще продължат да атакуват и изнудват организации."
Докладът на Unit42 отразява това, което виждат изследователите на Talos. Бандата и нейните филиали използват фишинг имейли или известна уязвимост на ProxyShell в непоправени сървъри на Microsoft Exchange – или пропуски в уязвими версии на VPN на SonicWall – за да получат достъп до система, според Talos.
Веднъж влезли, лошите актьори инсталират софтуера за отдалечено управление AnyDesk, за да им помогнат да поемат контрола върху кутиите на Windows, да се движат странично през мрежата и да ескалират привилегиите.
„BlackByte изглежда има предпочитание към този инструмент и често използва типични бинарни файлове за живот извън земята (LoLBins) освен друг публично достъпен търговски и некомерсиален софтуер като „netscanold“ или „psexec“, пишат изследователите на Talos. „Тези инструменти често се използват и от администраторите за легитимни задачи, така че може да бъде трудно да бъдат открити като злонамерена заплаха.“
Изпълнението на самия рансъмуер „е последната стъпка, след като приключат със страничното движение и станат постоянни в мрежата чрез добавяне на допълнителни администраторски акаунти“, пишат те.
Около 17 часа след стартиране на процеса на заразяване с рансъмуер, компрометираните системи се рестартират и бележката за рансъмуер lackByteRestore.txt се показва в Notepad.
Устойчивостта на BlackByte идва, докато пространството за ransomware продължава да се развива. Kaspersky по-рано този месец отбеляза няколко тенденции в областта, включително групи за заплахи, които искат да станат още по-адаптивни чрез разработване на междуплатформен рансъмуер, който може да работи на множество архитектури и операционни системи. В допълнение, екосистемата на ransomware става все по-индустриализирана, като комплектите инструменти за ransomware непрекъснато се подобряват, за да направят ексфилтрирането на данни по-лесно и по-бързо и да опростят инструментите за ребрандиране.
Бандите също са по-склонни да заемат страна в геополитически конфликти, като например продължаващото нахлуване в Украйна от Русия. ®
Get our Tech Resources
