Упозорење америчке владе пре три месеца којим се предузећа и владине агенције упозоравају на претњу БлацкБите-а очигледно није учинило мало да успори активности групе рансомваре-а.
Од марта, група и друге банде које користе њен малвер, наставиле су да нападају мете широм света, редизајнирајући своју веб страницу са које пропуштају податке украдене од организација и хватајући нове жртве, кажу аналитичари Талоса, обавештајне службе Цисцо Системс-а. група.
„Група рансомваре-а и њене подружнице заразиле су жртве широм света, од Северне Америке до Колумбије, Холандије, Кине, Мексика и Вијетнама“, приметили су ловци на претње у писму у среду. „Талос прати БлацкБите неколико месеци и можемо потврдити да су и даље активни након што је ФБИ објавио заједничко саветовање о сајбер безбедности.
У том заједничком издању [ПДФ] ФБИ-а и америчке тајне службе у фебруару је наведено да је БлацкБитеов досег био међународни, и наведено да је од новембра 2021. банда компромитовала субјекте у најмање три критична инфраструктурна сектора – владиним објектима, финансијама и храни и пољопривреди. - У Сједињеним Америчким Државама.
Истраживачи из Талоса сматрају да је БлацкБите једна од оних које називају „групама рансомваре-а за велике игре“, оних које циљају на велике и високопрофилне организације не само да ексфилтрирају њихове податке већ и прете да ће их јавно објавити на веб-сајтовима мрачног веба ако ознаке не буду не плати тражену откупнину. Екипа такође води аукцијску локацију .онион скривену у Торовима где продају украдене податке, према Унит42, јединици Пало Алто Нетворкс за лов на претње.
БлацкБите се појавио на сцени прошлог лета и брзо стекао име међу другим познатим групама, као што су РЕвил и Цонти, циљајући субјекте у Сједињеним Државама и Европи у индустријским секторима као што су здравство, енергија, финансијске услуге и производња. У фебруару, група је напала мрежу Сан Францисцо 49ерса, шифрирајући податке и цуревши неке датотеке за које су тврдили да су украдене од америчког фудбалског тима.
Упознајте Визард Спидер-а, вишемилионску банду која стоји иза Цонти, Риук малвера
READ MOREСлично неким екипама које користе рансомваре као што је Лоцкбит 2.0, БлацкБите избегава да циља системе који користе руски и друге источноевропске језике, према Унит42,
Група користи свој рансомваре за сопствену директну добит, а такође га чини доступним филијалама преко модела рансомваре-ас-а-сервице (РааС). Наишао је на изазов у октобру када је продавац сајбер безбедности Трустваве објавио софтвер који је жртвама БлацкБите-а омогућио да бесплатно дешифрују своје податке. У то време, истраживачи Трустваве-а су приметили да је БлацкБитеов рансомваре био рудиментарнији од оних других изнуђивача.
„За разлику од другог рансомваре-а који може имати јединствени кључ у свакој сесији, БлацкБите користи исти сирови кључ (који преузима) за шифровање датотека и користи алгоритам симетричног кључа – АЕС“, написао је тим Труствејв. „Да бисте дешифровали датотеку, потребан је само необрађен кључ који треба да се преузме са хоста. Све док .ПНГ датотека коју је преузела остане иста, можемо користити исти кључ за дешифровање шифрованих датотека.“
Сајбер-лопови су се очигледно опоравили до тачке у којој су ФБИ и Тајна служба у свом упозорењу изнели БлацкБитеове технике и детаљно изнели дугачку листу индикатора компромиса (ИоЦ).
У априлском посту на блогу, Унит42 је приметио агресивну природу банде, укључујући повећање од 300 одсто у односу на четвртину у последња три месеца 2021. у броју напада повезаних са њеним рансомвером.
Због природе високог профила и сталног тока БлацкБите напада идентификованих широм света почетком 2022. године, оператери и/или филијале које стоје иза услуге ће вероватно наставити да нападају и изнуђују организације
"BlackByte ransomware operators have been active since at least July 2021," the researchers wrote. "Због природе високог профила и сталног тока БлацкБите напада идентификованих широм света почетком 2022. године, оператери и/или филијале које стоје иза услуге ће вероватно наставити да нападају и изнуђују организације."
Извештај Унит42 одражава оно што истраживачи Талоса виде. Група и њене подружнице користе пхисхинг мејлове или познату рањивост ПрокиСхелл-а у незакрпљеним Мицрософт Екцханге серверима – или недостатке у рањивим верзијама СоницВалл-овог ВПН-а – да би добили приступ систему, наводи Талос.
Када уђу, лоши актери инсталирају софтвер за даљинско управљање АниДеск како би им помогли да преузму контролу над Виндовс кутијама, крећу се бочно кроз мрежу и ескалирају привилегије.
„Чини се да БлацкБите преферира овај алат и често користи типичне бинарне датотеке за живот ван земље (ЛоЛБинс) поред другог јавно доступног комерцијалног и некомерцијалног софтвера попут „нетсцанолд“ или „псекец““, написали су Талос истраживачи. „Ове алате често користе и администратори за легитимне задатке, тако да може бити тешко открити их као злонамерну претњу.“
Извршавање самог рансомваре-а „је последњи корак када се заврше са бочним померањем и постану упорни у мрежи додавањем додатних администраторских налога“, написали су.
Отприлике 17 сати након што започне процес заразе рансомвером, компромитовани системи се поново покрећу и напомена рансомваре-а недостатакБитеРесторе.ткт се приказује у Нотепад-у.
Упорност БлацкБите-а долази док простор за рансомваре наставља да се развија. Касперски је раније овог месеца приметио неколико трендова на терену, укључујући групе претњи које желе да постану још прилагодљивије развијањем рансомваре-а на више платформи који може да ради на више архитектура и оперативних система. Поред тога, екосистем рансомваре-а постаје све индустријализованији, са комплетима алата за рансомваре који се континуирано побољшавају како би ексфилтрација података била лакша и бржа, а алати за ребрендирање били једноставнији.
Банде ће такође вероватније заузети страну у геополитичким сукобима, као што је текућа инвазија Русије на Украјину. ®
Get our Tech Resources