BlackByte Ransomware-Erkennung: Neue Go-basierte Varianten mit verbesserter Datei-Verschlüsselung setzen weiterhin Unternehmen unter Druck und fordern Lösegeld
Inhaltsverzeichnis:
BlackByte Ransomware die seit Mitte Sommer 2021 auf kritische Infrastrukturen in den USA und weltweit abzielt, hat sich kürzlich zu einer fortschrittlicheren Variante entwickelt. Es ist bekannt, dass Angreifer Daten exfiltrieren, bevor sie Ransomware einsetzen, und dann drohen, die gestohlenen Daten zu veröffentlichen, wenn kein Lösegeld gezahlt wird.
Die Ransomware-Beispiele wurden ursprünglich in C# geschrieben und später in der Programmiersprache Go neu entwickelt, was es Angreifern ermöglicht, das Bedrohungs-Toolkit weiterzuentwickeln und fortschrittlichere und sicherere Dateiverschlüsselungsalgorithmen anzuwenden, die die Wiederherstellung von Dateien blockieren. Der in den neuesten BlackByte-Ransomware-Angriffen verwendete Ransomware-Code wird ständig optimiert, um Sicherheitslösungen zu umgehen und Malware-Analysen zu entziehen, einschließlich String-Obfuskationstools.
Erkennen Sie BlackByte Ransomware
Um Organisationen proaktiv gegen neue BlackByte-Ransomware-Beispiele zu verteidigen, hat SOC Prime eine Reihe einzigartiger, kontextbezogener Sigma-Regeln veröffentlicht, die von unseren produktiven Threat Bounty-Entwicklern geschrieben wurden, Nattatorn Chuensangarun and Kaan Yeniyol:
Da Bedrohungsakteure BlackByte-Ransomware kontinuierlich verbessern, stellt sie nach wie vor eine ernsthafte Bedrohung für Unternehmen dar, die in mehreren Branchen weltweit tätig sind. Bedrohungsjäger, Erkennungsingenieure und andere InfoSec-Praktiker, die daran arbeiten, die Cybersicherheit ihres Unternehmens zu verbessern, können sich der SOC Prime-Plattform anschließen und einen umfassenden Erkennungs-Stack für BlackByte Ransomware erreichen. Klicken Sie auf den Erkennungen anzeigen Button, um Zugang zu dem speziellen Regelset zu erhalten. Fortschrittliche Bedrohungserkennungsinhaltsingenieure und Cybersicherheitsforscher, die nach Wegen suchen, ihre individuellen Cybersicherheitsfähigkeiten zu einer Branchenzusammenarbeit zu machen, sind eingeladen, sich dem SOC Prime Threat Bounty-Programm anzuschließen, das die Monetarisierung von Inhaltsbeiträgen ermöglicht.
Erkennungen anzeigen Threat Bounty beitreten
BlackByte Ransomware Analyse: Go-basierte Varianten
BlackByte Ransomware läuft auf einem Ransomware-as-a-Service (RaaS) Modell, das seit Juli 2021 auf globale Organisationen abzielt. Zunächst an kleineren Angriffen beteiligt, gerieten die Ransomware-Operatoren im November 2021 ins öffentliche Interesse, nachdem sie mehrere US-amerikanische und weltweite Unternehmen, einschließlich kritischer Infrastrukturen im Regierungs-, Finanz-, Lebensmittel- und Landwirtschaftssektor, kompromittiert hatten.
The jüngste BlackByte-Ransomware-Angriff hat die in der Schweiz ansässige Logistikfirma M+R Spedag Group ins Visier genommen und dazu geführt, dass über 8 GB an Unternehmensdaten unter der Androhung, die durchgesickerten Informationen im Dark Web zu veröffentlichen, gestohlen wurden.
In einer Reihe früherer Angriffe wurde beobachtet, dass die Hackergruppe Dateiverschlüsselung auf Windows-Hostsystemen der Opfer nutzte und eine Microsoft Exchange Server-Schwachstelle ausnutzte, um Zugang zu kompromittierten Netzwerken zu erlangen. Als Reaktion auf die dynamisch zunehmende Anzahl von Angriffen, die BlackByte-Ransomware nutzen, haben das Federal Bureau of Investigation (FBI) und der U.S. Secret Service (USSS) eine gemeinsame Cybersicherheitsberatung herausgegeben, die Indikatoren für kompromittierende Aktivitäten im Zusammenhang mit der bösartigen Aktivität und empfohlene Abhilfemaßnahmen für BlackByte-Ransomware bietet.
Zscaler ThreatLabz hat kürzlich zwei neue BlackByte-Versionen identifiziert, die in der Go-Sprache programmiert wurden. Die erste Ransomware-Variante scheint viele gemeinsame Merkmale mit den ursprünglichen C#-Beispielen zu haben, die dieselben Befehle nutzen, um sich lateral zu bewegen und Privilegien zu eskalieren, zusammen mit ähnlichen Dateiverschlüsselungsalgorithmen, während die zweite Go-basierte Ransomware-Version, die in neueren Cyberangriffen entdeckt wurde, eine Reihe von signifikanten Updates und eine ausgefeiltere Dateiverschlüsselung einführt, darunter Curve25519 Elliptische Curve-Kryptografie (ECC) und ChaCha20 für asymmetrische beziehungsweise symmetrische Verschlüsselung. Darüber hinaus kommt die fortschrittlichere Go-basierte BlackByte-Version mit erweiterten Lösegeldnoten- und Icon-Dateispeicherfähigkeiten, die mit XOR-Verschlüsselung angereichert sind.
Der Cyberangriff beginnt mit dem Zugriff auf einen Link im Lösegeldportal und der anschließenden Authentifizierung mit einem Zugangsschlüssel aus der Lösegeldnachricht, die auf der Zielmaschine abgelegt wurde. Sobald eine Authentifizierung erfolgt ist, werden die kompromittierten Benutzer zur Zahlung eines Lösegelds aufgefordert unter dem Risiko, dass ihre Daten geleakt werden.
Darüber hinaus wenden Bedrohungsakteure Druckbombing an, indem sie eine Lösegeldnachricht senden, die stündlich auf verbundenen Geräten gedruckt werden soll.
Um über aufkommende Bedrohungen auf dem Laufenden zu bleiben und das Potenzial Ihrer Unternehmens-IT-Sicherheit zu verstärken, treten Sie der Detection as Code-Plattform von SOC Prime bei und erzielen Sie sofortigen Nutzen aus der nahezu in Echtzeit bereitgestellten Erkennung, die durch automatisiertes Bedrohungsjagen und Inhaltsverwaltungsmöglichkeiten begleitet wird.
