O alerta do governo dos EUA três meses atrás alertando empresas e agências governamentais sobre a ameaça do BlackByte aparentemente fez pouco para desacelerar as atividades do grupo de ransomware.
Desde março, o grupo e outras gangues que usam seu malware continuam a atacar alvos em todo o mundo, redesenhando seu site do qual vazam dados roubados de organizações e capturando novas vítimas, de acordo com analistas da Talos, inteligência de ameaças da Cisco Systems. grupo.
“O grupo de ransomware e suas afiliadas infectaram vítimas em todo o mundo, da América do Norte à Colômbia, Holanda, China, México e Vietnã”, observaram os caçadores de ameaças em um artigo na quarta-feira. “Talos monitora o BlackByte há vários meses e podemos confirmar que eles ainda estão ativos depois que o FBI divulgou um comunicado conjunto sobre segurança cibernética”.
Esse comunicado conjunto [PDF] do FBI e do Serviço Secreto dos EUA em fevereiro observou que o alcance da BlackByte era internacional e afirmou que, desde novembro de 2021, a gangue havia comprometido entidades em pelo menos três setores críticos de infraestrutura - instalações governamentais, financeiras e alimentos e agricultura - nos Estados Unidos.
Os pesquisadores do Talos consideram que o BlackByte é um dos que eles chamam de "grupos de ransomware de grandes jogos", aqueles que visam organizações grandes e de alto perfil não apenas exfiltrando seus dados, mas também ameaçando vazá-los publicamente em sites da dark web se as marcas não não pague o resgate exigido. A equipe também administra um site de leilões .onion ocultos pelo Tor, onde vendem dados roubados, de acordo com a Unit42, a unidade de caça a ameaças da Palo Alto Networks.
A BlackByte apareceu em cena no verão passado e rapidamente se destacou entre outros grupos conhecidos, como REvil e Conti, ao visar entidades nos Estados Unidos e na Europa em setores da indústria como saúde, energia, serviços financeiros e manufatura. Em fevereiro, o grupo atacou uma rede do San Francisco 49ers, criptografando dados e vazando alguns arquivos que alegavam ter sido roubados do time de futebol americano.
Conheça o Wizard Spider, a gangue multimilionária por trás do malware Conti e Ryuk
READ MORESemelhante a algumas equipes lançando ransomware como o Lockbit 2.0, o BlackByte evita sistemas de segmentação que usam russo e outros idiomas do Leste Europeu, de acordo com Unit42,
O grupo usa seu ransomware para seu próprio ganho direto e também o disponibiliza para afiliados por meio de um modelo de ransomware como serviço (RaaS). Ele enfrentou um desafio em outubro, quando o fornecedor de segurança cibernética Trustwave lançou um software que permitia às vítimas do BlackByte descriptografar seus dados gratuitamente. Na época, os pesquisadores da Trustwave observaram que o ransomware do BlackByte era mais rudimentar do que o de outros extorsionários.
“Ao contrário de outros ransomwares que podem ter uma chave única em cada sessão, o BlackByte usa a mesma chave bruta (que baixa) para criptografar arquivos e usa um algoritmo de chave simétrica – AES”, escreveu o Team Trustwave. "Para descriptografar um arquivo, basta que a chave bruta seja baixada do host. Desde que o arquivo .PNG baixado permaneça o mesmo, podemos usar a mesma chave para descriptografar os arquivos criptografados."
Os cibercriminosos aparentemente se recuperaram, a ponto de o FBI e o Serviço Secreto em seu alerta delinearem as técnicas da BlackByte e detalharem uma longa lista de indicadores de comprometimento (IoC).
Em uma postagem no blog de abril, a Unit42 observou a natureza agressiva da gangue, incluindo um aumento de 300% trimestre a trimestre nos últimos três meses de 2021 no número de ataques associados ao seu ransomware.
Devido à natureza de alto perfil e fluxo constante de ataques BlackByte identificados globalmente no início de 2022, os operadores e/ou afiliados por trás do serviço provavelmente continuarão a atacar e extorquir organizações
"BlackByte ransomware operators have been active since at least July 2021," the researchers wrote. "Devido à natureza de alto perfil e fluxo constante de ataques BlackByte identificados globalmente no início de 2022, os operadores e/ou afiliados por trás do serviço provavelmente continuarão a atacar e extorquir organizações."
O relatório Unit42 ecoa o que os pesquisadores do Talos estão vendo. A quadrilha e suas afiliadas usam e-mails de phishing ou uma conhecida vulnerabilidade do ProxyShell em Microsoft Exchange Servers não corrigidos – ou falhas em versões vulneráveis da VPN da SonicWall – para obter acesso a um sistema, de acordo com Talos.
Uma vez dentro, os malfeitores instalam o software de gerenciamento remoto AnyDesk para ajudá-los a assumir o controle das caixas do Windows, mover-se lateralmente pela rede e aumentar os privilégios.
“O BlackByte parece ter preferência por essa ferramenta e geralmente usa binários típicos de vida fora da terra (LoLBins), além de outros softwares comerciais e não comerciais disponíveis publicamente, como “netscanold” ou “psexec”, escreveram os pesquisadores do Talos. “Essas ferramentas também são frequentemente usadas por administradores para tarefas legítimas, por isso pode ser difícil detectá-las como uma ameaça maliciosa”.
A execução do ransomware em si "é a última etapa, uma vez que eles concluem o movimento lateral e se tornam persistentes na rede adicionando contas de administrador adicionais", escreveram eles.
Cerca de 17 horas após o início do processo de infecção do ransomware, os sistemas comprometidos são reinicializados e a nota do ransomware LackByteRestore.txt é exibida no Bloco de Notas.
A persistência do BlackByte ocorre à medida que o espaço do ransomware continua a evoluir. A Kaspersky no início deste mês observou algumas tendências no campo, incluindo grupos de ameaças que procuram se tornar ainda mais adaptáveis ao desenvolver ransomware multiplataforma que pode ser executado em várias arquiteturas e sistemas operacionais. Além disso, o ecossistema de ransomware está se tornando mais industrializado, com kits de ferramentas de ransomware sendo aprimorados continuamente para tornar a exfiltração de dados mais fácil e rápida e simplificar as ferramentas de rebranding.
As gangues também são mais propensas a tomar partido em conflitos geopolíticos, como a invasão da Ucrânia pela Rússia. ®
Get our Tech Resources
