BlackByte е марка за рансъмуер като услуга, за която се смята, че е филиал на Conti. За първи път е забелязана в средата и края на 2021 г.
Talos е наблюдавала, че марката BlackByte използва нови техники в допълнение към стандартните TTP, отбелязани по-рано. По-нататъшното разследване и съпоставянето на новите случаи със съществуващата телеметрия също кара Talos да смята, че BlackByte е бил значително по-активен, отколкото се предполагаше досега.
Изследователите често разчитат на включените в сайтовете за изтичане на данни статистически данни за своята активност, но Talos сега коментира: „Групата е била значително по-активна, отколкото изглежда от броя на жертвите, публикувани в нейния сайт за изтичане на данни.“ Talos смята, но не може да обясни защо само 20-30 % от жертвите на BlackByte са публикувани.
Неотдавнашно разследване и блог на Talos разкриват, че продължава използването на стандартния инструментариум на BlackByte, но с някои нови изменения. В един от последните случаи първоначалното влизане е постигнато чрез грубо насилване на акаунт, който е имал конвенционално име и слаба парола чрез VPN интерфейса. Това може да представлява опортюнизъм или лека промяна в техниката, тъй като маршрутът предлага допълнителни предимства, включително намалена видимост от EDR на жертвата.
След като е влязъл вътре, нападателят е компрометирал два акаунта на ниво администратор на домейна, получил е достъп до сървъра VMware vCenter и след това е създал обекти на AD домейна за хипервизьорите ESXi, присъединявайки тези хостове към домейна. Talos смята, че тази потребителска група е била създадена, за да се възползва от уязвимостта CVE-2024-37085 за заобикаляне на удостоверяването, която е била използвана от множество групи. BlackByte по-рано е използвала тази уязвимост, както и други, в рамките на няколко дни след публикуването ѝ.
В рамките на жертвата е осъществен достъп до други данни чрез използване на протоколи като SMB и RDP. За удостоверяване е използван NTLM. Конфигурациите на инструментите за сигурност са били намесени чрез системния регистър, а системите EDR понякога са били деинсталирани. Увеличените обеми на опитите за удостоверяване чрез NTLM и SMB връзка са наблюдавани непосредствено преди първите признаци на процеса на криптиране на файловете и се смята, че са част от механизма за саморазпространение на ransomware.
Talos не може да бъде сигурна за методите за ексфилтрация на данни на нападателя, но смята, че е използван нейният персонализиран инструмент за ексфилтрация – ExByte.
Голяма част от изпълнението на рансъмуера е подобна на тази, обяснена в други доклади, като тези на Microsoft, DuskRise и Acronis.
Сега обаче Talos добавя някои нови наблюдения – например файловото разширение „blackbytent_h“ за всички криптирани файлове. Освен това криптографът вече изпуска четири уязвими драйвера като част от стандартната техника на марката Bring Your Own Vulnerable Driver (BYOVD). По-ранните версии сваляха само два или три.
Talos отбелязва прогресия в езиците за програмиране, използвани от BlackByte, от C# до Go и впоследствие до C/C++ в последната версия, BlackByteNT. Това дава възможност за усъвършенствани техники за антианализ и дебъгване – известна практика на BlackByte.
Веднъж установен, BlackByte е труден за ограничаване и изкореняване. Опитите се усложняват от използването от марката на техниката BYOVD, която може да ограничи ефективността на контрола на сигурността. Въпреки това изследователите предлагат някои съвети: „Тъй като тази текуща версия на криптографа изглежда разчита на вградени пълномощия, откраднати от средата на жертвата, за ограничаване на разпространението трябва да е много ефективно нулирането на потребителските пълномощия и билетите Kerberos в цялото предприятие. Прегледът на SMB трафика, произхождащ от криптографа по време на изпълнението му, също ще разкрие конкретните акаунти, използвани за разпространение на инфекцията в мрежата.“
В доклада са предоставени защитни препоръки на BlackByte, картографиране на MITRE ATT&CK за новите TTPs и ограничен списък на IoCs.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.