Výstraha americké vlády před třemi měsíci, která varovala podniky a vládní agentury před hrozbou BlackByte, zřejmě příliš nezpomalila aktivity ransomwarové skupiny.
Od března skupina a další gangy používající její malware pokračují v útocích na cíle po celém světě, předělávají své webové stránky, ze kterých unikají data ukradená organizacím, a chytají nové oběti, podle analytiků společnosti Talos, zpravodajské služby o hrozbách společnosti Cisco Systems. skupina.
"Skupina ransomwaru a její pobočky infikovaly oběti po celém světě, od Severní Ameriky po Kolumbii, Nizozemsko, Čínu, Mexiko a Vietnam," uvedli lovci hrozeb ve středu. "Talos monitoruje BlackByte několik měsíců a můžeme potvrdit, že jsou stále aktivní poté, co FBI vydala společné doporučení ohledně kybernetické bezpečnosti."
Toto společné vydání [PDF] FBI a tajné služby USA v únoru poznamenalo, že dosah BlackByte byl mezinárodní, a uvedlo, že od listopadu 2021 gang kompromitoval subjekty v nejméně třech sektorech kritické infrastruktury – vládních zařízeních, financích a potravinářství a zemědělství. - ve Spojených státech.
Výzkumníci z Talos se domnívají, že BlackByte je jednou z těch, kterým říkají „velké herní ransomwarové skupiny“, ty, které se zaměřují na velké a vysoce postavené organizace nejen tím, že exfiltrují jejich data, ale také vyhrožují, že je zveřejní na temných webech, pokud se značky neuvolní. nezaplatit požadované výkupné. Posádka také provozuje aukční stránku Tor-hidden .onion, kde prodávají ukradená data, podle Unit42, jednotky pro vyhledávání hrozeb Palo Alto Networks.
BlackByte se na scéně objevil loni v létě a rychle si udělal jméno mezi dalšími známými skupinami, jako jsou REvil a Conti, zacílením na subjekty ve Spojených státech a Evropě v průmyslových odvětvích, jako je zdravotnictví, energetika, finanční služby a výroba. V únoru skupina zaútočila na síť San Francisco 49ers, zašifrovala data a unikla některé soubory, o kterých tvrdila, že byly ukradeny týmu amerického fotbalu.
Seznamte se s Wizard Spiderem, mnohamilionovým gangem, který stojí za malwarem Conti, Ryuk
READ MOREPodobně jako některé posádky využívající ransomware, jako je Lockbit 2.0, se BlackByte vyhýbá cílení na systémy, které používají ruštinu a další východoevropské jazyky, uvádí Unit42,
Skupina využívá svůj ransomware pro svůj vlastní přímý zisk a také jej zpřístupňuje přidruženým společnostem prostřednictvím modelu ransomware-as-a-service (RaaS). V říjnu narazil na problém, když prodejce kybernetické bezpečnosti Trustwave vydal software, který umožňoval obětem BlackByte dešifrovat jejich data zdarma. V té době výzkumníci Trustwave poznamenali, že ransomware BlackByte byl rudimentárnější než ransomware jiných vyděračů.
„Na rozdíl od jiného ransomwaru, který může mít v každé relaci jedinečný klíč, BlackByte používá stejný nezpracovaný klíč (který stahuje) k šifrování souborů a používá algoritmus symetrického klíče – AES,“ napsal Team Trustwave. "K dešifrování souboru stačí stáhnout nezpracovaný klíč z hostitele. Dokud soubor .PNG, který stáhl, zůstane stejný, můžeme k dešifrování zašifrovaných souborů použít stejný klíč."
Kybernetické podvodníky se zjevně odrazily až do bodu, kdy FBI a tajná služba ve svém upozornění nastínily techniky BlackByte a podrobně popsaly dlouhý seznam indikátorů kompromisu (IoC).
V dubnovém příspěvku na blogu Unit42 zaznamenala agresivní povahu gangu, včetně 300procentního čtvrtletního nárůstu v posledních třech měsících roku 2021 v počtu útoků spojených s jeho ransomwarem.
Vzhledem k vysoce profilované povaze a stálému proudu útoků BlackByte, které byly celosvětově zjištěny na začátku roku 2022, budou operátoři a/nebo přidružené společnosti za touto službou pravděpodobně i nadále útočit a vydírat organizace.
"BlackByte ransomware operators have been active since at least July 2021," the researchers wrote. "Vzhledem k vysoce profilované povaze a stálému proudu útoků BlackByte, které byly celosvětově zjištěny na začátku roku 2022, budou operátoři a/nebo přidružené společnosti za touto službou pravděpodobně i nadále útočit a vydírat organizace.."
Zpráva Unit42 odráží to, co vědci Talos vidí. Gang a jeho přidružené společnosti používají phishingové e-maily nebo známou zranitelnost ProxyShell v neopravených serverech Microsoft Exchange – nebo chyby ve zranitelných verzích VPN společnosti SonicWall – k získání přístupu do systému, uvádí Talos.
Jakmile vstoupí, nainstalují špatní herci software pro vzdálenou správu AnyDesk, který jim pomůže převzít kontrolu nad Windows boxy, pohybovat se po síti a eskalovat oprávnění.
"Zdá se, že BlackByte preferuje tento nástroj a často používá typické binární soubory žijící mimo zemi (LoLBins) vedle jiného veřejně dostupného komerčního a nekomerčního softwaru, jako je "netscanold" nebo "psexec", napsali vědci z Talos. "Tyto nástroje také často používají správci pro legitimní úkoly, takže může být obtížné je odhalit jako zákeřnou hrozbu."
Spuštění samotného ransomwaru „je posledním krokem, jakmile jsou provedeny s bočním pohybem a stanou se trvalými v síti přidáním dalších administrátorských účtů,“ napsali.
Přibližně 17 hodin po zahájení procesu infekce ransomware se napadené systémy restartují a v poznámkovém bloku se zobrazí poznámka o ransomwaru nedostatekByteRestore.txt.
Trvanlivost BlackByte přichází s tím, jak se prostor ransomwaru neustále vyvíjí. Společnost Kaspersky začátkem tohoto měsíce zaznamenala několik trendů v této oblasti, včetně skupin hrozeb, které se chtějí stát ještě přizpůsobivějšími vývojem multiplatformního ransomwaru, který lze spustit na různých architekturách a operačních systémech. Ekosystém ransomwaru se navíc stále více industrializuje, přičemž sady nástrojů ransomwaru jsou neustále vylepšovány, aby byla exfiltrace dat snazší a rychlejší a nástroje pro změnu značky byly jednodušší.
Gangy se také s větší pravděpodobností postaví na stranu v geopolitických konfliktech, jako je například probíhající invaze Ruska na Ukrajinu. ®
Get our Tech Resources
