La alerta del gobierno de EE. UU. hace tres meses advirtiendo a las empresas y agencias gubernamentales sobre la amenaza de BlackByte aparentemente ha hecho poco para frenar las actividades del grupo de ransomware.
Desde marzo, el grupo y otras pandillas que usan su malware han seguido atacando objetivos en todo el mundo, rediseñando su sitio web desde el que filtran datos robados de organizaciones y atrapando nuevas víctimas, según analistas de Talos, la inteligencia de amenazas de Cisco Systems. grupo.
"El grupo de ransomware y sus afiliados han infectado a víctimas en todo el mundo, desde América del Norte hasta Colombia, los Países Bajos, China, México y Vietnam", señalaron los cazadores de amenazas en un artículo el miércoles. "Talos ha estado monitoreando BlackByte durante varios meses y podemos confirmar que todavía están activos después de que el FBI publicara un aviso de ciberseguridad conjunto".
Ese comunicado conjunto [PDF] del FBI y el Servicio Secreto de EE. UU. en febrero señaló que el alcance de BlackByte era internacional y afirmó que desde noviembre de 2021, la pandilla había comprometido entidades en al menos tres sectores de infraestructura críticos: instalaciones gubernamentales, finanzas y alimentos y agricultura. - en los Estados Unidos.
Los investigadores de Talos consideran que BlackByte es uno de los "grupos de ransomware de gran juego", aquellos que se dirigen a organizaciones grandes y de alto perfil no solo extrayendo sus datos, sino también amenazando con filtrarlos públicamente en sitios web oscuros si las marcas no 't pagar el rescate exigido. El equipo también administra un sitio de subastas de .onion escondido en Tor donde venden datos robados, según Unit42, la unidad de caza de amenazas de Palo Alto Networks.
BlackByte apareció en escena el verano pasado y rápidamente se hizo un nombre entre otros grupos conocidos, como REvil y Conti, al apuntar a entidades en los Estados Unidos y Europa en sectores industriales como salud, energía, servicios financieros y manufactura. En febrero, el grupo atacó una red de los 49ers de San Francisco, encriptando datos y filtrando algunos archivos que afirmaban haber sido robados del equipo de fútbol americano.
Conoce a Wizard Spider, la pandilla multimillonaria detrás del malware Conti, Ryuk
READ MOREDe manera similar a algunos equipos que lanzan ransomware como Lockbit 2.0, BlackByte evita apuntar a sistemas que usan ruso y otros idiomas de Europa del Este, según Unit42,
El grupo utiliza su ransomware para su propio beneficio directo y también lo pone a disposición de los afiliados a través de un modelo de ransomware como servicio (RaaS). Se encontró con un desafío en octubre cuando el proveedor de ciberseguridad Trustwave lanzó un software que permitía a las víctimas de BlackByte descifrar sus datos de forma gratuita. En ese momento, los investigadores de Trustwave notaron que el ransomware de BlackByte era más rudimentario que el de otros extorsionadores.
"A diferencia de otros ransomware que pueden tener una clave única en cada sesión, BlackByte usa la misma clave sin procesar (que descarga) para cifrar archivos y usa un algoritmo de clave simétrica: AES", escribió Team Trustwave. "Para descifrar un archivo, solo se necesita descargar la clave sin procesar del host. Siempre que el archivo .PNG que se descargó siga siendo el mismo, podemos usar la misma clave para descifrar los archivos cifrados".
Los ciberdelincuentes aparentemente se recuperaron, hasta el punto en que el FBI y el Servicio Secreto en su alerta describieron las técnicas de BlackByte y detallaron una larga lista de indicadores de compromiso (IoC).
En una publicación de blog de abril, Unit42 señaló la naturaleza agresiva de la pandilla, incluido un aumento intertrimestral del 300 % en los últimos tres meses de 2021 en la cantidad de ataques asociados con su ransomware.
Debido a la naturaleza de alto perfil y el flujo constante de ataques BlackByte identificados a nivel mundial a principios de 2022, es probable que los operadores y/o afiliados detrás del servicio continúen atacando y extorsionando a las organizaciones.
"BlackByte ransomware operators have been active since at least July 2021," the researchers wrote. "Debido a la naturaleza de alto perfil y el flujo constante de ataques BlackByte identificados a nivel mundial a principios de 2022, es probable que los operadores y/o afiliados detrás del servicio continúen atacando y extorsionando a las organizaciones.."
El informe de Unit42 se hace eco de lo que están viendo los investigadores de Talos. La pandilla y sus afiliados usan correos electrónicos de phishing o una vulnerabilidad conocida de ProxyShell en servidores de Microsoft Exchange sin parches, o fallas en versiones vulnerables de la VPN de SonicWall, para obtener acceso a un sistema, según Talos.
Una vez dentro, los delincuentes instalan el software de administración remota AnyDesk para ayudarlos a tomar el control de las cajas de Windows, moverse lateralmente a través de la red y aumentar los privilegios.
"BlackByte parece tener preferencia por esta herramienta y, a menudo, utiliza binarios típicos de living-off-the-land (LoLBins) además de otro software comercial y no comercial disponible públicamente como 'netscanold' o 'psexec'", escribieron los investigadores de Talos. "Estas herramientas también son utilizadas a menudo por los administradores para tareas legítimas, por lo que puede ser difícil detectarlas como una amenaza maliciosa".
Ejecutar el ransomware en sí mismo "es el último paso una vez que terminan con el movimiento lateral y se vuelven persistentes en la red agregando cuentas de administrador adicionales", escribieron.
Aproximadamente 17 horas después de que comience el proceso de infección del ransomware, los sistemas comprometidos se reinician y se muestra la nota del ransomware lackByteRestore.txt en el Bloc de notas.
La persistencia de BlackByte se produce a medida que el espacio del ransomware sigue evolucionando. Kaspersky a principios de este mes notó algunas tendencias en el campo, incluidos los grupos de amenazas que buscan volverse aún más adaptables mediante el desarrollo de ransomware multiplataforma que puede ejecutarse en múltiples arquitecturas y sistemas operativos. Además, el ecosistema de ransomware se está industrializando cada vez más, con kits de herramientas de ransomware que se mejoran continuamente para hacer que la exfiltración de datos sea más fácil y rápida, y simplificar las herramientas de cambio de marca.
Las pandillas también tienen más probabilidades de tomar partido en conflictos geopolíticos, como la actual invasión de Ucrania por parte de Rusia. ®
Get our Tech Resources
