• Tecnologia
  • Equipamento elétrico
  • Indústria de Materiais
  • Vida digital
  • política de Privacidade
  • Ó nome
Localização: Casa / Tecnologia / O brilho intenso dos holofotes não diminui a gangue do ransomware BlackByte

O brilho intenso dos holofotes não diminui a gangue do ransomware BlackByte

techserving |
2004

O alerta do governo dos EUA três meses atrás alertando empresas e agências governamentais sobre a ameaça do BlackByte aparentemente fez pouco para desacelerar as atividades do grupo de ransomware.

Desde março, o grupo e outras gangues que usam seu malware continuam a atacar alvos em todo o mundo, redesenhando seu site do qual vazam dados roubados de organizações e capturando novas vítimas, de acordo com analistas da Talos, inteligência de ameaças da Cisco Systems. grupo.

“O grupo de ransomware e suas afiliadas infectaram vítimas em todo o mundo, da América do Norte à Colômbia, Holanda, China, México e Vietnã”, observaram os caçadores de ameaças em um artigo na quarta-feira. “Talos monitora o BlackByte há vários meses e podemos confirmar que eles ainda estão ativos depois que o FBI divulgou um comunicado conjunto sobre segurança cibernética”.

Esse comunicado conjunto [PDF] do FBI e do Serviço Secreto dos EUA em fevereiro observou que o alcance da BlackByte era internacional e afirmou que, desde novembro de 2021, a gangue havia comprometido entidades em pelo menos três setores críticos de infraestrutura - instalações governamentais, financeiras e alimentos e agricultura - nos Estados Unidos.

Os pesquisadores do Talos consideram que o BlackByte é um dos que eles chamam de "grupos de ransomware de grandes jogos", aqueles que visam organizações grandes e de alto perfil não apenas exfiltrando seus dados, mas também ameaçando vazá-los publicamente em sites da dark web se as marcas não não pague o resgate exigido. A equipe também administra um site de leilões .onion ocultos pelo Tor, onde vendem dados roubados, de acordo com a Unit42, a unidade de caça a ameaças da Palo Alto Networks.

A BlackByte apareceu em cena no verão passado e rapidamente se destacou entre outros grupos conhecidos, como REvil e Conti, ao visar entidades nos Estados Unidos e na Europa em setores da indústria como saúde, energia, serviços financeiros e manufatura. Em fevereiro, o grupo atacou uma rede do San Francisco 49ers, criptografando dados e vazando alguns arquivos que alegavam ter sido roubados do time de futebol americano.

Conheça o Wizard Spider, a gangue multimilionária por trás do malware Conti e Ryuk

READ MORE

Semelhante a algumas equipes lançando ransomware como o Lockbit 2.0, o BlackByte evita sistemas de segmentação que usam russo e outros idiomas do Leste Europeu, de acordo com Unit42,

O grupo usa seu ransomware para seu próprio ganho direto e também o disponibiliza para afiliados por meio de um modelo de ransomware como serviço (RaaS). Ele enfrentou um desafio em outubro, quando o fornecedor de segurança cibernética Trustwave lançou um software que permitia às vítimas do BlackByte descriptografar seus dados gratuitamente. Na época, os pesquisadores da Trustwave observaram que o ransomware do BlackByte era mais rudimentar do que o de outros extorsionários.

Hot glare of the spotlight doesn’t slow BlackByte ransomware gang

“Ao contrário de outros ransomwares que podem ter uma chave única em cada sessão, o BlackByte usa a mesma chave bruta (que baixa) para criptografar arquivos e usa um algoritmo de chave simétrica – AES”, escreveu o Team Trustwave. "Para descriptografar um arquivo, basta que a chave bruta seja baixada do host. Desde que o arquivo .PNG baixado permaneça o mesmo, podemos usar a mesma chave para descriptografar os arquivos criptografados."

Os cibercriminosos aparentemente se recuperaram, a ponto de o FBI e o Serviço Secreto em seu alerta delinearem as técnicas da BlackByte e detalharem uma longa lista de indicadores de comprometimento (IoC).

Em uma postagem no blog de abril, a Unit42 observou a natureza agressiva da gangue, incluindo um aumento de 300% trimestre a trimestre nos últimos três meses de 2021 no número de ataques associados ao seu ransomware.

Devido à natureza de alto perfil e fluxo constante de ataques BlackByte identificados globalmente no início de 2022, os operadores e/ou afiliados por trás do serviço provavelmente continuarão a atacar e extorquir organizações

"BlackByte ransomware operators have been active since at least July 2021," the researchers wrote. "Devido à natureza de alto perfil e fluxo constante de ataques BlackByte identificados globalmente no início de 2022, os operadores e/ou afiliados por trás do serviço provavelmente continuarão a atacar e extorquir organizações."

O relatório Unit42 ecoa o que os pesquisadores do Talos estão vendo. A quadrilha e suas afiliadas usam e-mails de phishing ou uma conhecida vulnerabilidade do ProxyShell em Microsoft Exchange Servers não corrigidos – ou falhas em versões vulneráveis ​​da VPN da SonicWall – para obter acesso a um sistema, de acordo com Talos.

Uma vez dentro, os malfeitores instalam o software de gerenciamento remoto AnyDesk para ajudá-los a assumir o controle das caixas do Windows, mover-se lateralmente pela rede e aumentar os privilégios.

“O BlackByte parece ter preferência por essa ferramenta e geralmente usa binários típicos de vida fora da terra (LoLBins), além de outros softwares comerciais e não comerciais disponíveis publicamente, como “netscanold” ou “psexec”, escreveram os pesquisadores do Talos. “Essas ferramentas também são frequentemente usadas por administradores para tarefas legítimas, por isso pode ser difícil detectá-las como uma ameaça maliciosa”.

A execução do ransomware em si "é a última etapa, uma vez que eles concluem o movimento lateral e se tornam persistentes na rede adicionando contas de administrador adicionais", escreveram eles.

Cerca de 17 horas após o início do processo de infecção do ransomware, os sistemas comprometidos são reinicializados e a nota do ransomware LackByteRestore.txt é exibida no Bloco de Notas.

A persistência do BlackByte ocorre à medida que o espaço do ransomware continua a evoluir. A Kaspersky no início deste mês observou algumas tendências no campo, incluindo grupos de ameaças que procuram se tornar ainda mais adaptáveis ​​ao desenvolver ransomware multiplataforma que pode ser executado em várias arquiteturas e sistemas operacionais. Além disso, o ecossistema de ransomware está se tornando mais industrializado, com kits de ferramentas de ransomware sendo aprimorados continuamente para tornar a exfiltração de dados mais fácil e rápida e simplificar as ferramentas de rebranding.

As gangues também são mais propensas a tomar partido em conflitos geopolíticos, como a invasão da Ucrânia pela Rússia. ®

Get our Tech Resources