Yhdysvaltain hallituksen kolme kuukautta sitten antama hälytys, joka varoitti yrityksiä ja valtion virastoja BlackByten uhasta, ei ilmeisesti ole juurikaan hidastanut kiristysohjelmaryhmän toimintaa.
Cisco Systemsin uhkatiedustelun Talosin analyytikoiden mukaan ryhmä ja muut sen haittaohjelmia käyttävät jengit ovat maaliskuusta lähtien jatkaneet hyökkäyksiä kohteisiin ympäri maailmaa. ryhmä.
"Lunnasohjelmaryhmä ja sen tytäryhtiöt ovat tartuttaneet uhreja kaikkialla maailmassa Pohjois-Amerikasta Kolumbiaan, Alankomaihin, Kiinaan, Meksikoon ja Vietnamiin", uhkien metsästäjät totesivat keskiviikkona julkaisemassaan kirjoituksessaan. "Talos on seurannut BlackByteä useita kuukausia ja voimme vahvistaa, että ne ovat edelleen aktiivisia FBI:n julkaissut yhteisen kyberturvallisuusneuvonnan."
FBI:n ja Yhdysvaltain salaisen palvelun yhteisjulkaisussa [PDF] helmikuussa todettiin, että BlackByten ulottuvuus oli kansainvälinen, ja todettiin, että jengi oli marraskuusta 2021 lähtien vaarantanut kokonaisuuksia ainakin kolmella kriittisen infrastruktuurin sektorilla – valtion laitokset, rahoitus sekä ruoka ja maatalous. - Yhdysvalloissa.
Talosin tutkijat uskovat, että BlackByte on yksi niistä, joita he kutsuvat "suurten pelien kiristyshaittaohjelmaryhmiksi", ryhmiksi, jotka kohdistuvat suuriin ja korkean profiilin organisaatioihin, paitsi suodattamalla tietojaan, myös uhkaamalla vuotaa ne julkisesti pimeille web-sivustoille, jos merkit eivät näy. älä maksa vaadittua lunnaita. Palo Alto Networksin uhkien metsästysyksikön Unit42:n mukaan miehistö ylläpitää myös Tor-hiiden .onion -huutokauppasivustoa, jossa he myyvät varastettuja tietoja.
BlackByte ilmestyi näyttämölle viime kesänä ja teki nopeasti mainetta muiden tunnettujen ryhmien, kuten REvilin ja Contin, joukossa kohdentamalla yrityksiä Yhdysvalloissa ja Euroopassa sellaisilla teollisuuden aloilla kuin terveydenhuolto, energia, rahoituspalvelut ja valmistus. Helmikuussa ryhmä hyökkäsi San Francisco 49ersin verkkoon salaamalla tietoja ja vuotaen joitain tiedostoja, joiden väittivät varastetuiksi amerikkalaisjalkapallojoukkueelta.
Tapaa Wizard Spider, monen miljoonan dollarin jengi Conti, Ryuk -haittaohjelmien takana
READ MORESamoin kuin jotkin lunnasohjelmia, kuten Lockbit 2.0, käyttävät miehistöt, BlackByte välttää kohdistamista järjestelmiin, jotka käyttävät venäjää ja muita itäeurooppalaisia kieliä Unit42:n mukaan.
Ryhmä käyttää ransomware-ohjelmaansa oman suoran hyödyn saamiseksi ja tuo sen myös tytäryhtiöiden saataville ransomware-as-a-service (RaaS) -mallin kautta. Se kohtasi haasteen lokakuussa, kun kyberturvallisuustoimittaja Trustwave julkaisi ohjelmiston, jonka avulla BlackByten uhrit saivat purkaa tietonsa ilmaiseksi. Tuolloin Trustwaven tutkijat totesivat, että BlackByten lunnasohjelmat olivat alkeellisempia kuin muiden kiristajien.
"Toisin kuin muilla kiristysohjelmilla, joilla voi olla ainutlaatuinen avain jokaisessa istunnossa, BlackByte käyttää samaa raakaavainta (jonka se lataa) tiedostojen salaamiseen ja se käyttää symmetrisen avaimen algoritmia – AES", Team Trustwave kirjoitti. "Tiedoston salauksen purkamiseen tarvitaan vain raaka-avain, joka ladataan isännästä. Niin kauan kuin sen lataama .PNG-tiedosto pysyy samana, voimme käyttää samaa avainta salattujen tiedostojen salauksen purkamiseen."
Kyberrikolliset ilmeisesti toipuivat siihen pisteeseen, jossa FBI ja salainen palvelu hahmottelivat hälytyksessään BlackByten tekniikat ja yksityiskohtaisesti pitkän luettelon kompromissin osoittimista (IoC).
Huhtikuussa julkaisemassaan blogiviestissä Unit42 pani merkille jengin aggressiivisen luonteen, mukaan lukien 300 prosentin kasvu vuosineljänneksestä vuoden 2021 kolmen viimeisen kuukauden aikana sen kiristysohjelmiin liittyvien hyökkäysten määrässä.
Alkuvuodesta 2022 maailmanlaajuisesti tunnistettujen BlackByte-hyökkäysten korkean profiilin ja jatkuvan virran vuoksi palvelun takana olevat operaattorit ja/tai tytäryhtiöt jatkavat todennäköisesti organisaatioiden hyökkäämistä ja kiristämistä.
"BlackByte ransomware operators have been active since at least July 2021," the researchers wrote. "Alkuvuodesta 2022 maailmanlaajuisesti tunnistettujen BlackByte-hyökkäysten korkean profiilin ja jatkuvan virran vuoksi palvelun takana olevat operaattorit ja/tai tytäryhtiöt jatkavat todennäköisesti organisaatioiden hyökkäämistä ja kiristämistä.."
Unit42-raportti toistaa Talosin tutkijoiden näkemän. Talosin mukaan jengi ja sen tytäryhtiöt käyttävät tietokalastelusähköpostiviestejä tai tunnettua ProxyShell-haavoittuvuutta korjaamattomissa Microsoft Exchange -palvelimissa – tai SonicWallin VPN:n haavoittuvien versioiden puutteita – päästäkseen järjestelmään.
Sisään päästyään huonot toimijat asentavat AnyDesk-etähallintaohjelmiston, joka auttaa heitä hallitsemaan Windows-laatikoita, liikkumaan sivusuunnassa verkon läpi ja laajentamaan käyttöoikeuksia.
"BlackByte näyttää suosivan tätä työkalua ja käyttää usein tyypillisiä eläviä off-the-land-binaareja (LoLBins) muiden julkisesti saatavilla olevien kaupallisten ja ei-kaupallisten ohjelmistojen, kuten "netscanold" tai "psexec", lisäksi", Talosin tutkijat kirjoittivat. "Järjestelmänvalvojat käyttävät usein näitä työkaluja myös laillisiin tehtäviin, joten niiden havaitseminen haitallisina uhina voi olla vaikeaa."
Itse kiristysohjelman suorittaminen "on viimeinen vaihe, kun ne on suoritettu sivuttaisliikkeellä ja tekevät itsestään pysyviä verkossa lisäämällä ylimääräisiä järjestelmänvalvojatilejä", he kirjoittivat.
Noin 17 tuntia kiristysohjelmien tartuntaprosessin alkamisen jälkeen vaarantuneet järjestelmät käynnistyvät uudelleen ja ransomware-muistiinpano puuttuu Muistiossa.
BlackByten sinnikkyys tulee, kun kiristysohjelmatilan kehitys jatkuu. Kaspersky havaitsi aiemmin tässä kuussa muutamia alan trendejä, mukaan lukien uhkaryhmät, jotka haluavat tulla entistä mukautuvimmiksi kehittämällä monialustaisia kiristysohjelmia, jotka voivat toimia useissa arkkitehtuureissa ja käyttöjärjestelmissä. Lisäksi ransomware-ekosysteemistä on tulossa teollistuneempi, ja ransomware-työkalusarjoja parannetaan jatkuvasti, jotta tietojen suodattaminen olisi helpompaa ja nopeampaa ja brändinvaihdostyökalujen yksinkertaistaminen.
Myös jengit ottavat todennäköisemmin puolelleen geopoliittisissa konflikteissa, kuten Venäjän meneillään olevassa Ukrainan hyökkäyksessä. ®
Get our Tech Resources