BlackByte е марка за рансъмуер като услуга, за която се смята, че е филиал на Conti. За първи път е забелязана в средата и края на 2021 г.

Talos е наблюдавала, че марката BlackByte използва нови техники в допълнение към стандартните TTP, отбелязани по-рано. По-нататъшното разследване и съпоставянето на новите случаи със съществуващата телеметрия също кара Talos да смята, че BlackByte е бил значително по-активен, отколкото се предполагаше досега.

Изследователите често разчитат на включените в сайтовете за изтичане на данни статистически данни за своята активност, но Talos сега коментира: „Групата е била значително по-активна, отколкото изглежда от броя на жертвите, публикувани в нейния сайт за изтичане на данни.“ Talos смята, но не може да обясни защо само 20-30 % от жертвите на BlackByte са публикувани.

Неотдавнашно разследване и блог на Talos разкриват, че продължава използването на стандартния инструментариум на BlackByte, но с някои нови изменения. В един от последните случаи първоначалното влизане е постигнато чрез грубо насилване на акаунт, който е имал конвенционално име и слаба парола чрез VPN интерфейса. Това може да представлява опортюнизъм или лека промяна в техниката, тъй като маршрутът предлага допълнителни предимства, включително намалена видимост от EDR на жертвата.

След като е влязъл вътре, нападателят е компрометирал два акаунта на ниво администратор на домейна, получил е достъп до сървъра VMware vCenter и след това е създал обекти на AD домейна за хипервизьорите ESXi, присъединявайки тези хостове към домейна. Talos смята, че тази потребителска група е била създадена, за да се възползва от уязвимостта CVE-2024-37085 за заобикаляне на удостоверяването, която е била използвана от множество групи. BlackByte по-рано е използвала тази уязвимост, както и други, в рамките на няколко дни след публикуването ѝ.

В рамките на жертвата е осъществен достъп до други данни чрез използване на протоколи като SMB и RDP. За удостоверяване е използван NTLM. Конфигурациите на инструментите за сигурност са били намесени чрез системния регистър, а системите EDR понякога са били деинсталирани. Увеличените обеми на опитите за удостоверяване чрез NTLM и SMB връзка са наблюдавани непосредствено преди първите признаци на процеса на криптиране на файловете и се смята, че са част от механизма за саморазпространение на ransomware.

Talos не може да бъде сигурна за методите за ексфилтрация на данни на нападателя, но смята, че е използван нейният персонализиран инструмент за ексфилтрация – ExByte.

Голяма част от изпълнението на рансъмуера е подобна на тази, обяснена в други доклади, като тези на Microsoft, DuskRise и Acronis.

Сега обаче Talos добавя някои нови наблюдения – например файловото разширение „blackbytent_h“ за всички криптирани файлове. Освен това криптографът вече изпуска четири уязвими драйвера като част от стандартната техника на марката Bring Your Own Vulnerable Driver (BYOVD). По-ранните версии сваляха само два или три.

Talos отбелязва прогресия в езиците за програмиране, използвани от BlackByte, от C# до Go и впоследствие до C/C++ в последната версия, BlackByteNT. Това дава възможност за усъвършенствани техники за антианализ и дебъгване – известна практика на BlackByte.

Веднъж установен, BlackByte е труден за ограничаване и изкореняване. Опитите се усложняват от използването от марката на техниката BYOVD, която може да ограничи ефективността на контрола на сигурността. Въпреки това изследователите предлагат някои съвети: „Тъй като тази текуща версия на криптографа изглежда разчита на вградени пълномощия, откраднати от средата на жертвата, за ограничаване на разпространението трябва да е много ефективно нулирането на потребителските пълномощия и билетите Kerberos в цялото предприятие. Прегледът на SMB трафика, произхождащ от криптографа по време на изпълнението му, също ще разкрие конкретните акаунти, използвани за разпространение на инфекцията в мрежата.“

В доклада са предоставени защитни препоръки на BlackByte, картографиране на MITRE ATT&CK за новите TTPs и ограничен списък на IoCs.