Το ransomware BlackByte έχει προσθέσει ένα νέο εργαλείο κλοπής δεδομένων στο οπλοστάσιό του.
Affiliate του ransomware BlackByte χρησιμοποιεί τώρα ένα προσαρμοσμένο εργαλείο κλοπής δεδομένων, το “ExByte”, για να κλέψει γρήγορα δεδομένα από συσκευές Windows που έχουν παραβιαστεί.
Στις επιθέσεις double-extortion, η διαρροή δεδομένων είναι ένα από τα πιο κρίσιμα βήματα. Σε αυτού του είδους τις επιθέσεις, οι εταιρείες είναι πιο πιθανό να πληρώσουν λύτρα προκειμένου να αποτρέψουν τη διαρροή των δεδομένων τους, παρά να λάβουν έναν decryptor.
Εξαιτίας αυτού, επιχειρήσεις ransomware, όπως η ALPHV και η LockBit, εργάζονται συνεχώς για να βελτιώσουν τα εργαλεία τους για την κλοπή δεδομένων.
Εναλλακτικά, άλλοι απειλητικοί φορείς, όπως η ομάδα Karakurt, δεν αφιερώνουν καν χρόνο για την κρυπτογράφηση τοπικών αντιγράφων και επικεντρώνονται μόνο στο data exfiltration.
Δείτε επίσης: Το TikTok αρνείται ότι θα μπορούσε να χρησιμοποιηθεί για την παρακολούθηση πολιτών στις ΗΠΑ
Το Exbyte είναι το τέλειο εργαλείο για τη διαρροή δεδομένων
Οι ερευνητές ασφαλείας της Symantec ανακάλυψαν το Exbyte, λέγοντας ότι οι απειλητικοί φορείς το χρησιμοποιούν για να ανεβάζουν κλεμμένα αρχεία απευθείας από το εργαλείο exfiltration που βασίζεται στο Go σε αποθηκευτικό χώρο Mega cloud.
Αυτό το εργαλείο εκτελεί αμέσως ελέγχους αντι-ανάλυσης για να διαπιστώσει αν εκτελείται σε ασφαλές περιβάλλον, καθώς και αναζητά debuggers και διεργασίες προστασίας από ιούς.
Δείτε επίσης: Η εταιρεία ενέργειας EnergyAustralia δέχτηκε κυβερνοεπίθεση
Η Exbyte επαληθεύει τις ακόλουθες διεργασίες:
- MegaDumper 1.0 by CodeCracker / SnD
- Import reconstructor
- x64dbg
- x32dbg
- OLLYDBG
- WinDbg
- The Interactive Disassembler
- Immunity Debugger – [CPU]
Επιπλέον, το κακόβουλο λογισμικό θα ελέγξει για την παρουσία των παρακάτω αρχείων DLL:
- avghooka.dll
- avghookx.dll
- sxin.dll
- sf2.dll
- sbiedll.dll
- snxhk.dll
- cmdvrt32.dll
- cmdvrt64.dll
- wpespy.dll
- vmcheck.dll
- pstorec.dll
- dir_watch.dll
- api_log.dll
- dbghelp.dll
Τις ίδιες δοκιμές εκτελεί και το ransomware binary BlackByte, αλλά το εργαλείο exfiltration πρέπει να τις εκτελέσει ξεχωριστά, καθώς τα δεδομένα εξάγονται πριν από την κρυπτογράφηση των αρχείων.
Εάν οι δοκιμές βγουν αρνητικές, το Exbyte δημιουργεί μια λίστα με όλα τα αρχεία εγγράφων στο παραβιασμένο σύστημα και τα μεταφέρει σε έναν άδειο φάκελο στο Mega χρησιμοποιώντας τα hardcoded credentials ενός άλλου λογαριασμού.
Η BlackByte συνεχίζει να αναπτύσσεται
Η επιχείρηση BlackByte άρχισε να λειτουργεί επίσημα το καλοκαίρι του 2021. Μέσα σε κάτι λιγότερο από έξι μήνες, είχαν διεισδύσει και είχαν κλέψει πληροφορίες από διάφορους ιδιωτικούς οργανισμούς καθώς και από ορισμένους δημόσιους φορείς.
Οι πρόσφατες επιθέσεις της BlackByte εκμεταλλεύονται servers Microsoft Exchange που έχουν ελαττώματα ProxyShell και ProxyLogon από πέρυσι, σύμφωνα με τους αναλυτές της Symantec.
Επιπλέον, οι χάκερ χρησιμοποιούν εργαλεία όπως τα AdFind, AnyDesk, NetScan και PowerView για να μετακινούνται πλευρικά μέσα σε ένα σύστημα.
Δείτε επίσης: OldGremlin: Χρησιμοποιεί Linux ransomware για να στοχεύσει ρώσικους οργανισμούς
Το BlackByte χρησιμοποιεί ορισμένες από τις μεθόδους που χρησιμοποιούν και άλλα συστήματα ransomware, όπως η διαγραφή των σκιωδών αντιγράφων για να εμποδίσει την εύκολη αποκατάσταση των δεδομένων. Μια άλλη μέθοδος που χρησιμοποιείται είναι η τροποποίηση των ρυθμίσεων του firewall, προκειμένου να ανοίξει όλες τις απομακρυσμένες συνδέσεις. Στη συνέχεια, το κακόβουλο λογισμικό εκτελείται τελικά σε ένα instance του “scvhost.exe” για να κρυπτογραφήσει οποιαδήποτε αρχεία βρίσκει.
Χθες, η Intel 471 δημοσίευσε μια έκθεση στην οποία αναφέρεται ότι στο τρίτο τρίμηνο του 2022, ο πρωταρχικός στόχος της BlackByte ήταν οργανισμοί που βρίσκονται στην Αφρική για να αποφευχθεί κάθε πιθανή σύγκρουση με τις δυτικές αρχές επιβολής του νόμου.
Πηγή πληροφοριών: bleepingcomputer.com
