L'alerte du gouvernement américain il y a trois mois avertissant les entreprises et les agences gouvernementales de la menace de BlackByte n'a apparemment pas fait grand-chose pour ralentir les activités du groupe de rançongiciels.
Depuis mars, le groupe et d'autres gangs utilisant ses logiciels malveillants ont continué d'attaquer des cibles dans le monde entier, en repensant leur site Web à partir duquel ils divulguent des données volées à des organisations et en attrapant de nouvelles victimes, selon les analystes de Talos, le service de renseignements sur les menaces de Cisco Systems. groupe.
"Le groupe de rançongiciels et ses affiliés ont infecté des victimes dans le monde entier, de l'Amérique du Nord à la Colombie, aux Pays-Bas, en Chine, au Mexique et au Vietnam", ont noté mercredi les chasseurs de menaces dans un article. "Talos surveille BlackByte depuis plusieurs mois et nous pouvons confirmer qu'ils sont toujours actifs après que le FBI a publié un avis conjoint sur la cybersécurité."
Cette publication conjointe [PDF] du FBI et des services secrets américains en février a noté que la portée de BlackByte était internationale et a déclaré que depuis novembre 2021, le gang avait compromis des entités dans au moins trois secteurs d'infrastructure critiques - installations gouvernementales, financières, et alimentation et agriculture. - aux Etats-Unis.
Les chercheurs de Talos estiment que BlackByte fait partie de ce qu'ils appellent les "groupes de rançongiciels pour grands jeux", ceux qui ciblent les grandes organisations de premier plan non seulement en exfiltrant leurs données, mais également en menaçant de les divulguer publiquement sur des sites Web sombres si les marques ne le sont pas. ne paie pas la rançon demandée. L'équipage gère également un site d'enchères Tor-hidden .onion où ils vendent des données volées, selon Unit42, l'unité de chasse aux menaces de Palo Alto Networks.
BlackByte est apparu sur la scène l'été dernier et s'est rapidement fait un nom parmi d'autres groupes bien connus, tels que REvil et Conti, en ciblant des entités aux États-Unis et en Europe dans des secteurs industriels comme la santé, l'énergie, les services financiers et la fabrication. En février, le groupe a attaqué un réseau des 49ers de San Francisco, cryptant des données et divulguant certains fichiers qui, selon eux, avaient été volés à l'équipe de football américaine.
Rencontrez Wizard Spider, le gang multimillionnaire derrière Conti, le malware Ryuk
READ MORESemblable à certains équipages lançant des rançongiciels comme Lockbit 2.0, BlackByte évite de cibler les systèmes qui utilisent le russe et d'autres langues d'Europe de l'Est, selon Unit42,
Le groupe utilise son ransomware pour son propre gain direct et le met également à la disposition de ses affiliés via un modèle de ransomware-as-a-service (RaaS). Il s'est heurté à un défi en octobre lorsque le fournisseur de cybersécurité Trustwave a publié un logiciel permettant aux victimes de BlackByte de déchiffrer leurs données gratuitement. À l'époque, les chercheurs de Trustwave ont noté que le rançongiciel de BlackByte était plus rudimentaire que celui des autres extorqueurs.
"Contrairement à d'autres ransomwares qui peuvent avoir une clé unique dans chaque session, BlackByte utilise la même clé brute (qu'il télécharge) pour chiffrer les fichiers et il utilise un algorithme à clé symétrique - AES", a écrit Team Trustwave. "Pour décrypter un fichier, il suffit de télécharger la clé brute à partir de l'hôte. Tant que le fichier .PNG téléchargé reste le même, nous pouvons utiliser la même clé pour décrypter les fichiers cryptés."
Les cyber-escrocs ont apparemment rebondi, au point que le FBI et les services secrets dans leur alerte ont décrit les techniques de BlackByte et détaillé une longue liste d'indicateurs de compromission (IoC).
Dans un article de blog d'avril, Unit42 a noté la nature agressive du gang, y compris une augmentation de 300 % d'un trimestre à l'autre au cours des trois derniers mois de 2021 du nombre d'attaques associées à son rançongiciel.
En raison de la nature très médiatisée et du flux constant d'attaques BlackByte identifiées dans le monde au début de 2022, les opérateurs et/ou les affiliés à l'origine du service continueront probablement d'attaquer et d'extorquer des organisations.
"BlackByte ransomware operators have been active since at least July 2021," the researchers wrote. "En raison de la nature très médiatisée et du flux constant d'attaques BlackByte identifiées dans le monde au début de 2022, les opérateurs et/ou les affiliés à l'origine du service continueront probablement d'attaquer et d'extorquer des organisations.."
Le rapport Unit42 fait écho à ce que voient les chercheurs de Talos. Le gang et ses affiliés utilisent des e-mails de phishing ou une vulnérabilité ProxyShell connue dans les serveurs Microsoft Exchange non corrigés – ou des failles dans les versions vulnérables du VPN de SonicWall – pour accéder à un système, selon Talos.
Une fois dedans, les malfaiteurs installent le logiciel de gestion à distance AnyDesk pour les aider à prendre le contrôle des boîtiers Windows, à se déplacer latéralement sur le réseau et à élever les privilèges.
"BlackByte semble avoir une préférence pour cet outil et utilise souvent des binaires typiques vivant hors de la terre (LoLBins) en plus d'autres logiciels commerciaux et non commerciaux accessibles au public comme "netscanold" ou "psexec" ", ont écrit les chercheurs de Talos. "Ces outils sont également souvent utilisés par les administrateurs pour des tâches légitimes, il peut donc être difficile de les détecter comme une menace malveillante."
L'exécution du ransomware lui-même "est la dernière étape une fois qu'ils ont terminé avec le mouvement latéral et se rendent persistants dans le réseau en ajoutant des comptes d'administrateur supplémentaires", ont-ils écrit.
Environ 17 heures après le démarrage du processus d'infection par ransomware, les systèmes compromis redémarrent et la note de ransomware LackByteRestore.txt s'affiche dans le Bloc-notes.
La persistance de BlackByte survient alors que l'espace des rançongiciels continue d'évoluer. Plus tôt ce mois-ci, Kaspersky a noté quelques tendances dans le domaine, notamment des groupes de menaces cherchant à devenir encore plus adaptables en développant des rançongiciels multiplateformes pouvant s'exécuter sur plusieurs architectures et systèmes d'exploitation. En outre, l'écosystème des ransomwares s'industrialise, les kits d'outils de ransomwares étant continuellement améliorés pour faciliter et accélérer l'exfiltration des données et simplifier les outils de rebranding.
Les gangs sont également plus susceptibles de prendre parti dans les conflits géopolitiques, comme l'invasion en cours de l'Ukraine par la Russie. ®
Get our Tech Resources
